Давно бы дали схему с указанием IP интерфейсов, IP сетей и IP шлюзов. Без конкретных данных невозможно дать конкретный ответ. На основе предоставленных вами данных невозможно сказать какие маршруты надо прописать.

Маршрутизация зависит от топологии.

головной офис:
сеть 192.168.1.0/24
DFL-210 (0)
wan_ip: 192.168.100.1
lan_ip: 192.168.0.254

удаленный офис
сеть 192.168.2.0/24
DFL-210 (1)
wan_ip: 192.168.100.2
lan_ip: 192.168.1.254

при данной конфигурации рисуется маршрут:
DFL-210 (1)
в сеть 192.168.2.0.24 ходить через 192.168.100.2 интерфейс wan (хотя вот тут сомневаюсь)

DFL-210 (2)
сеть 192.168.1.0.24 ходить через 192.168.100.1 интерфейс wan (хотя вот тут сомневаюсь)

На каждом фаере прописать правила фильтрации. для начала создай allow any to any, чтобы исключить влияние фаервола.

все это будет работать если железки соединены напрямую.
Если офисы подключаются через инет то тут маршрутизацией не обойтись. Нужно туннель поднимать.

Не надо сомневаться. Так и есть. Только номера DFL-ей по примеру должны быть 0 и 1, а не 1 и 2.

Только автор не колется, как у него все соединено и через какие каналы. (случайно, дедушка не стойкий белорусский партизан? ) Оcобенно мне непонятно, как куча офисов сходятся к одному DFL-210.

Вроде все объяснено выше.
Вот приблизительная схема

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

Блин с картинкой немного не получилось.
ну ниче если надо, можно скачать по ссылке!

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

С картинкой уже намного лучше. IP адреса WAN порта на DSL-модемах не указаны. Они нужны, возможно.

Зона "маршрутизатора провайдера" - это публичная сеть? Если так, то тут сначала надо организовать защищенное соединение офисов, а маршрутизация, глядишь, получится сама. DFL-210 в главном офисе- единственный на всю сеть?

Там закрытая сеть,прозрачная для нас. и там все давно работает! Мне надо настроить только на DFL-210.
DFL-210 - один. есть еще другие, там я все настроил, т.е. если шлюз по умолчанию на компе ставлю другой роутер (например, 192.168.0.6 - DI-804HV) то все OK. На нем я все настроил, а на DFL-210 нифига не получается. Маршруты прописываю, но пакеты через него не проходят

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

А зачем в правиле маршрутизации есть поле Local IP Address?
И поясните пож. зачем ужну две другие вкладки Proxy ARP и Monitor? Как правило можно "мониторить"?

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

Оъясните мне наконец, почему правила маршрутизации у меня не срабатывают?
по выше описанной схеме прописываю маршрут:
Dst: 192.168.1.0/24
Interface: lan
Gateway: 192.168.0.254

и 2 правила:
1) Allow
Src:192.168.0.0/24
Dst:192.168.1.0/24
all_services
2) Allow
Src:192.168.1.0/24
Dst:192.168.0.0/24
all_services

что еще надо???

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

Пингуешь откуда с железяки или с компа из головного офиса?
Неплохо было бы посмотреть на таблицу маршрутизации в целом, может есть маршрут с меньшей метрикой через wan.
В логах что пишет? дропятся ли пинги или нет. вообще чтобы исключить влияние фаервола создай хотя бы на время настройки правило allow ping any all-nets to any all-nets.
И кстати стандарнтные правила lan_to_wan есть? они выше тех правил которые ты привел?

З.Ы. я бы подцепил на лан головной офис, а на wan сеть провайдера, так по моему логичнее, хотя и не принципиально.

С компа из головного офиса!

Таблица пустая, только стандартные маршруты и мой маршрут - один единственный!

Создал правило которое все разрешает, после пингов появляются записи открытия соединения, которое не закрывается до тех пор пока не остановлю пинг.

Лог после запуска пинга:
2007-12-11 15:30:13
Info CONN 00600001
ALLOW_ALL ICMP
lan lan
192.168.0.230 (мой комп)
192.168.1.2 (удаленый комп)
conn_open
rev=1 conn=open connsrcid=512 conndestid=512

после остановки:
2007-12-11 15:30:38
Info CONN 00600002
ALLOW_ALL ICMP
lan lan
192.168.0.230 (мой комп)
192.168.1.2 (удаленый комп)
conn_close
close
rev=1 conn=close connsrcid=512 conndestid=512 origsent=240

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

1. смотри метрику
2. смотри порядок правил
3. пробуй пинговать с железяки

больше сказать сложно, нужны исходные данные (т.е. твои настройки)

Чтобы все работало, у Вас должны быть правильно настроены маршруты и правила на DFL и маршруты всех трех ADSL-модемах во внутренней сети.

Дополните вашу картинку или напишите здесь IP-адреса, шлюзы для WAN-портов этих трех модемов. А также все статические маршруты, прописанные на них (Advanced -> Static Routes).

что именно там работает давно работает? связь между офисами?

да, между офисами!
На других роутерах (например DSL-500T 192.168.0.3) у меня маршрут
Dst: 192.168.1.0/24
Gateway: 192.168.0.254
уже прописан. И если я его ставлю как шлюз по умолчанию на компе, то ВСЁ работает без проблем! Т.е. он переадресовывает пакеты на роутер 192.168.0.254 который в свою очередь переадресовывает их на миницентры.
А если шлюзом ставлю DFL-210 (192.168.0.2), то хана всем пакетам, которые на миницентры идут.
Кстати очень интересно!
в логах пишет следующее при пинге на один из миницентров:
2007-12-11 15:30:13
Info CONN 00600001
ALLOW_ALL ICMP
lan lan
192.168.0.230 (мой комп)
192.168.1.2 (удаленый комп)
conn_open
rev=1 conn=open connsrcid=512 conndestid=512

Источник LAN - это понятно! а назначение LAN - это уже интересно!!! т.е. он по маршрутам все таки понимает что переадресовывать пакет надо на порт LAN, вот только почему он теряется где то!??

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

БЛИН! С железяки пинг идет!

_________________
Из того что я потерял в жизни, мне больше всего жаль разум