1) Вы удалили некоторые маршруты. Вот эти нужно оставить:
wan1 wan1_net 100
wan2 wan2_net 100

2) PBR правило неправильно написано. В Destination Interface должно быть прописано wan1

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

т.е я удаляю дефолтные маршруты (убираю cоотв. галочки на интерфейсах wan1 и wan2)
добваляю два маршрута
wan1 wan1_net 100
wan2 wan2_net 100


и меняю PBR

Dima G спасибо
вроде поперло буду тестировать, попытаюсь два VPN теперь поднять

непонял только почему в PBR wan1 а не wan2

Потому что здесь мы правилом указываем, что если пакету из LAN2 требуется all-nets и при этом по основной таблице main он должен идти через WAN1, то необходимо переопределить для этого пакета таблицу маршрутизации, заменив ее на такую-то. В нашем случае на test-route. И уже в ней прописано, что этот пакет пойдет до all-nets через WAN2. И пакет уходит. Фирштейн?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

я-я Фирштейн
осталось VPN из сети LAN2 побороть

делал аналогично для VPN интерфейса (как для LAN2) не получается
help me

Что именно? Тут все может быть по-другому. Приведите схему адресации сетей и кто куда через кого должен быть доступен/ходить.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

две сети lan
вариант 1 соединяются с двумя разными удаленными внешними IP
вариант 2 соединяются с одним удаленным внешними IP (возможно такое ?)

lan1 172.16.0.0 соединятеся по IPsec через wan1 удаленная сеть 192.168.1.0
lan2 192.168.5.0 соединятеся по IPsec через wan2 удаленная сеть 192.168.1.0 (удаленные сети одинаковые ??)

т.е на DFL 1660 как бы две независимые сети lan1 и lan2 со своим каналом инета и со своим ipsec каждая из сетей использует свой WAN со своим провайдером

связка LAN1-->WAN1 работает интернет и IPsec
связка LAN2-->WAN2 работает интернет(с помощью Dima G )? ) а IPsec пока не хочет

Это просто. В main'e прописывается маршрут до удаленного IP через конкретный интерфейс. Туннель до этой точки через него и пойдет.

Я не знаю способ, как это сделать. Скорее всего невозможно.


Резюме: будет точно работать, как требуется, если удаленные IP разные. И желательно, чтобы разные подсети за удаленными точками были (Желательно, потому что есть способ использования фейковой подсети. Но это отдельный разговор)

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

спасибо за ответы