Шлюз в маршрутах IPSec указывать не обязательно (лично я не указывал).
Имелся ввиду именно local Network для IPsec на промежуточной DFL, как и Remout Network на другой стороне.

Какие прошивки на железках?

уххх...блин!! Спасибо большое!!!
поменял local Network = all nets на промежуточной DFL 2500 и туннель поднялся. Теперь могу с самой DFL1660 пинговать локальные сети, которые за DFL2500, так и хосты в интернете.
Проверить могут ли клиенты локальных сетей за DFL 1660 пинговать наружу сейчас удаленно не могу.

Правда не понятно почему не могу пинговать с промежуточной DFL 2500 локальные интерфейсы сетей которые за DFL 1660,
хотя при старой схеме, когда (local Network и remote Network только локальные сети за туннелями) пинги ходили??

Прошивки:
2500
2.26.00.06-12652
1600
2.27.00.15-14100
860
2.26.00.06-12649

Скорее всего перепутались маршруты.

...ну маршруты то не менялись

Есть такой нюанс - надо в настройках IPSec-тунеля DFL с которого пингуете, на вкладке Routing в разделе IP Addresses выбрать Specify address manually и указать IP адрес (например из тойже подсети из которой пингуете). После этого сделать полный рестарт DFL (Full restart - Restart from power-on state)!
Если и это не поможет - заменить разрешающее правило на DFL с которго пингуете с Allow на NAT.

Поменяйте метрику для дефолтных маршрутов - ноль это не айс
Шлюз для маршрутов на туннели как правильно замечено не нужен
При пинге в промежуточные сети - смотрите Status > Connections и Status > Logging

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc