Есть DI-824 (v2.10, Mon, Dec 29 2008), подключенный к Инет (DualAccess PPTP, провайдер дает фикс внешний IP.) Локальный сегмент - 10.199.12/24.
К нему через Dynamic VPN подключен сегмент 192.168.104/24, причем настройки локального сегмента динамического туннеля IPSec выставлены 10.199.0.0/16, т е в туннель по политике IPSec попадает 10.199/16<->192.168.104/24.
Это работает, проверено.
Теперь настраиваем PPTP-сервер. Выставляем Virtual IP: 10.199.77.1,
подключаем удаленный PC, он получает 10.199.77.2, локальный сегмент 10.199.12 виден ОК. Причем, если в сегменте 10.199.12 поставить еще шлюз (отдельную коробку), например, в сеть 10.199.55/24, и прописать к ней маршруты на DI-824 и PC, эта сеть будет видна и через IPSec, и через PPTP.

Так, прописываем на PC маршрут к 192.168.104 через 10.199.77.2
ОДНАКО, ping 10.199.77.2<->192.168.104.x не идет, пакеты "съедает"
DI-824. Установка статических маршрутов на 10.199.77 и разрешающих правил Firewall'а на 10.199.77 и 192.168.104 во все стороны проблему не решила.

Вопрос к сообществу - это баг или так задумано, что пакеты из PPTP-туннелей не анализируются на соответствие установленным политикам IPSec? Выглядит дико, т к политики IPSec обычно сидят в ядре и чтоб залочить их на конкретные интерфейсы это еще постараться..
А как пропадают пакеты (src:192.168.104.x dst:10.199.77.2) вообще непонятно, т к они уже ВЫШЛИ из IPSec-туннеля и routing-процесс по-любому их должен в PPTP запихнуть.