Есть 2 офиса удаленный и центральный сведены в единую сеть, (канал от провайдера) описывалось тут viewtopic.php?f=3&t=155299&p=832654#p832654 теперь другая задача в этот канал направить трафик Интернета.
Сделал маршрут в москве DMZ - All nets - LanDFL-IP-SPB
https://cacoo.com/diagrams/ge9gCzFANZfPhzXS
сейчас убегать нужно поезд провожать приду допишу.

_________________
С уважением, Иван.
____________________________________

этот маршрут должен быть с меньшей метрикой

Надо еще разрешающие правила allow в москве и NAT в питере

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Через канал должен ходить трафик локальный (настроено ТУТ ходит.) + нужно в него же завернуть интернет трафик.
Итак что на данный момент сделано
МОСКВА
Маршрут (помимо основных)

dmz - lannet_spb - dmz_ip_spb - dmz_ip - 80
dmz - all-nets - lan_spb_gw_ip - lan_ip - 100 (метрика ниже чем у WAN маршрута)

Правила

dmz_traff - Allow - [dmz] - {dmznet} - [core] - {dmz_ip} - all_services (Основное правило разрешающее трафик из сети DMZ на DMZ_MSK_IP (без него не работает)
msk_dmz_spb = Allow - [lan] - {lannet} - [dmz] - {lannet_spb} - all_services
spb_dmz_msk = Allow - [dmz] - {lannet_spb} - [lan] - {lannet} - all_services
lan_dmz = Allow - [lan] - {lannet} - [dmz] - {dmznet} - all_services
dmz_lan = Allow - [dmz] - {dmznet} - [lan] - {lannet} - all_services

Санкт-Петербург
Маршруты

dmz - lannet_msk - dmz_ip_msk - dmz_ip - 80

Правила

dmz_traff = Allow - [dmz] - {dmznet} - [core] - {dmz_ip} - all_services
spb_dmz_msk = Allow - [lan] - {lannet} - [dmz] - {lannet_msk} - all_services
msk_dmz_spb = Allow - [dmz] - lannet_msk - lan lannet - all_services
lan_dmz = Allow - [lan] - {lannet} - [dmz] - {dmznet} - all_services
dmz_lan = Allow - [dmz] - {dmznet} - [lan] - {lannet} - all_services

Так же для прохождения московского интернета сделаны правила (интерфейс Internet это группа из Wan1 и Wan2) -

allow_standard = Allow - [dmz] - {lannet_msk} - [Internet] - {all-nets} - all_tcpudp (это на всякий случай уже так сказать пляски с бубном)
allow_standard = NAT - [dmz] - {lannet_msk} - [Internet] - {all-nets} - all_tcpudp

Локальный трафик СПБ=МСК ходит без проблем.
Со всем этим интернет из москвы в питер не рутится. Где ошибка?

В Москве
правило
dmz_traff - Allow - [dmz] - {dmznet} - [core] - {dmz_ip} - all_services нужно только для пинга питерского DFL. Поэтому можно сделать сервис ping-inbound и все. В питере с аналогичным правилом то же самое.

добавить
allow lan lannet dmz all-nets all-services

В Питере
удалить
allow_standard = Allow - [dmz] - {lannet_msk} - [Internet] - {all-nets} - all_tcpudp (это на всякий случай уже так сказать пляски с бубном)

И еще.
Я обычно делаю (с адаптацией под ваш случай)
группа интерфейсов lan_all = lan, dmz, ipsec
группа локальных сетей lan_nets = lan + lan_удаленные

Тогда многое упрощается в правилах.

разрешить локальный трафик в обе стороны:
allow lan_all lan_nets lan_all lan_nets all-services

разрешить инет
NAT lan_all lan_nets internet all-nets all-services

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ок Все работает.скоро выложу как именно заработало.

_________________
С уважением, Иван.
____________________________________