Есть железка, на ней поднят SSL VPN, клиент на win7 подключается, видит внутренние сети. Но при этом в интернет он может лазить только через dfl, если на нем NAT для этого интерфейса не поднять то и инета у клиента нет.

Я лично к сетям своим через dfl-ы подключаюсь через IPSEC, а на клиенте просто пишу тунельное правило в "Брандмауэр windows.........", но тут есть два минуса, 1) я должен знать адреса локальной сети и при смене её каждый раз править правило - если я попал в другую сеть. 2) Клиенты так делать не будут поэтому я предположил что SSL VPN это как раз для них. Но есть 2 плюса - 1) скорость, 2) в инет я попадаю через своего домашнего провайдера.

Ситуация предположим банальная - сидит клиент дома качает кино и хочет поработать - подключившись через SSL VPN кино он будет уже тянуть через этот канал, чем попортит и себе и всем жизнь. Кстати при подключении к SSL VPN - dlinkовский агент выдает ошибку что не может создать какойто ROUTE на локальной машине.

Вопрос неужели на SLL VPN нельзя гнать трафик интернета в обход тунеля как на IPSEC? Ну и если можно то как решить эту задачу?

Пока что, SSL VPN клиент достаточно простой - он не умеет пушить маршруты на клиента, но к счастью умеет не ставить дефолтроут
Чтобы не было маршрута по умолчанию на DFL, запускайте клиент с параметром -no_gateway
Соответственно, чтобы не надо было морочаться на клиенте с маршрутами на локалку за DFL, VPN пул должен быть из lannet + надо включить ARP proxy
Если у вас более одной сети за DFL, то на клиенте придется прописывать маршруты до этих сетей

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc