Если вам сети за физическими интерфейсами не нужны, то сделайте вот так роутинг (в настройках wan и dmz снимите галку добавления маршрута на сеть)

После этого запустите ping -t в удаленную сеть и смотрите Status > Connections, куда идет.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

вообщем ICMP заработало, прописал во всех железках шлюзом IP LAN dfl-210, кроме собственно самих пользователей, т.к. у них шлюзом прописан интернет-сервер, у которого в свою очередь не прописан шлюз на внутреннем интерфейсе

вопрос: если я на самом интернет-сервере пропишу шлюзом IP dfl-210, то будет работать ICMP для пользователей данным сервером и главное: не будет ли данный сервер переправлять всех своих клиентов на dfl-210 и тем самым забивать трафиком LAN dfl-210?

Что-то я запутался в вашей топологии. Можете схему нарисовать?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

192.168.68.xxx - DFL-210 - DI-804HV - 192.168.100.xxx

Не надо на сервере второго шлюза, сделайте просто маршрут на удаленную сеть через DFL

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

маршрут я так понимаю нужно пропиисать на интернет-сервере типа
192.168.68.0 255.255.255.0 192.168.100.1 50
192.168.100.1 - lan 804HV

или нужно прописать так
192.168.68.0 255.255.255.0 внешний IP 804HV 50
метрику как я понял делать больше, чем на у других маршрутах, прописанных на этом сервере?

192.168.68.0 255.255.255.0 192.168.100.1 50

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

а не будет такого, что пакеты от клиентов, которые должны идти в интернет через сервер будут сервером по данному маршруту перенаправляться на dfl-210, а тот будет их дропать?

В маршруте четко написано 192.168.68.0/255.255.255.0 - это значит что только сеть 192.168.68.х пойдет на DFL.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

в настройках сетевой карты сервера ТИ
192.168.68.68
255.255.255.0
lan_ip DFL-210
но нет доступа к пользователям...
прописал на сервере(WinServer2003) статический маршрут в меню маршрутизация вида
192.168.68.0
255.255.255.0
192.168.68.168
50
тоже самое

умные люди посоветовали на DFL-210 прописать обратный маршрут до 100-й сети(за Dl-804HV)....
я так понимаю через созданную таблицу обратной маршрутизации на DFL-210, но как конкретно???


есть еще мысль создать lan_gw (сервер ТИ - 192.168.68.168) и каким-либо образом прописать правила, чтобы с ipsec пакеты шли на этот шлюз и соответственно были бы доступны все клиенты, у которых прописан шлюзом сервер ТИ...


ЗЫ Забыл сказать, что на сервере ТИ включен сетевой экран и он не доступен для не авторизованных на нем клиентах, к коим и относится dfl-210...

Думаю, решением может быть либо это (о том как сделать ниже), либо вынесение DFL на отдельный интерфейс вашего сервера.

Как сделать...

1) Routing > Routing tables
Добавляете новую таблицу маршрутизации, например vpn_lan. Ordering - only, remove intreface routes.

2) В эту таблицу добавляете маршруты
lan lannet <адрес сервера> 100
Tunnel remotenet 100

3) Routing > Routing rules
Добавляете правило
Tunnel/all-nets lan/lannet all_services, forward vpn_lan, return main

Не забудьте, что в IP rules должны быть allow правила между vpn и lan

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc