Добрый день!
Хочу использовать в качестве провайдера для нужд офиса Yota через dmz, а трафик IPSec пустить через основного проводного провайдера (wan). В принципе решить задачу удалось, но не до конца.
Добавление маршрута для dmz / all-nets / dmz_gw переключило весь трафик с проводного провайдера на Yota. Но после этого IPSec тоннели перестали пинговаться. Отключил у тоннеля автоматическое добавление маршрута и добавил руками ip_sec_iface / ipsec_net / wan_gw. Но это не помогло. Подскажите, почему трафик IPSec не маршрутизируется по указанному пути?

Не путайте несущую сеть для туннеля и сеть внутри туннеля! Сделайте маршрут до "remote endpoint" (внешний адрес) через wan (убедитесь, что работает как надо с помощью tracert с компьютера!). А в маршруте для трафика внутри туннеля, который Вы написали, внешнему wan_gw не место. На туннель никаких gw вообще не нужно. Или верните автомаршрут.