Сделал как вы сказали, результат, увы, не изменился. Вот два куска из логов роутера В:
1

2


где 192.168.200.2 - адрес компьютера из промежуточной сети А, и 10.10.30.3 - компьютер из внутренней сети 1.
Видно, что пакеты для ВС1 отправляются через wan-интерфейс, и как следствие, до места назначения не доходят.
Как можно это изменить? (прошу пардона, если вопрос дурацкий, просто за недели этой "битвы за VPN" мозги уже набекрень встали).

В правилах что у вас?

Правила для vpn стандартные:



где VPN_SRV_Kostrovo - сервер на роутере В, а VPN_CL_MSC - айпи, который получает клиент с роутера А.

Что у вас в объекте VPN_CL_MSC, что с правилами на другой стороне?

VPN_CL_MSC - IP из промежуточной сети В, который получает vpn-клиент с роутера А.
Правила на другой стороне (роутер А) сейчас разрешено все для всех интерфейсов и сетей. Только пакеты для 10.10.30.0/24 попросту до роутера А не доходят.

VPN_CL_MSC тут должна быть группа из 2х ваших подсетей в удаленном офисе.

Спасибо, будем пробовать.

недавно возник вопрос:
Будет ли коректно работать интернет в сети подключенной через DFL-210. Если в железке настроен PPTP клиент(с метрикой на 10 меньшей lan и wan) для объединения с другой сетью ?

_________________
Не верь, Не бойся, Не проси

Как обрабатываются маршруты на DFL знаете? Сначала обрабатываются статические маршруты, сначала с более короткой маской (хостам) затем к подсетям, затем уже к all-nets, а вот уже между одинаковыми маршрутами (па маски) какой из них будет обработан первый уже играет роль метрика.

т.е. интернет работать коректно будет только со статическими настройками(PPPOE c DHCP отпадает) при том условии что на lan_to_lan канале метрика будет ниже чем на подключении wan1

_________________
Не верь, Не бойся, Не проси

Большое спасибо всем ответившим. Советы пригодились, но кое-что как обычно, пришлось дорабатывать самому. В итоге, схема работает уже третий день и нареканий пока никаких нет.
Еще раз всем спасибо!