Доброго времени суток, уважаемые коллеги!
Есть потребность дать интернет пользователем, присоединяющихся к девайсу по L2TP, поднятому на Wan порту, через выход DMZ. На текущий момент имеем:
1. Настройки для поднятия L2TP туннеля.
2. Пользователей, которые подключаются к девайсу.
3. Данным пользователям даются адреса из специального пула
4. Правила, разрешающие натить данные адреса с интерфейса L2TP в интернет через оба интерфейса (wan+DMZ объеденены в группу)

Имеем счастливых пользователей, которые помимо корпоративной сети еще и могут лезть в инет через нат DFL-860E. При этом они лезут в интернет именно через Wan. Хочется их пустить через DMZ.

Создал альтернативную таблицу маршрутизации для этого случая.
Создал правило маршрутизации, что ежели идет доступ на аллнетс по интерфейсу L2tp то подгружать нужную таблицу. В итоге ступор.
Пакеты перестают натиться. В логах DFL пишет, что запрещено использовать альтернативную таблицу маршрутизации на этом интерфейсе... Куда копать?

все верно. эта ситуация разрешается через PBR

могу посоветовать почитать
viewtopic.php?f=3&t=93443

Если читали, но все равно проблемы - давайте скриншоты IP правил и правил маршрутизации

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Разобрался. Все верно. Оказывается, чтобы новое правило PBR заработало, то клиенту по L2TP нужно обязательно переподключиться. я же проверял на установленном подключении.