Схема следующая https://yadi.sk/i/n1ElX_wrmD54N
До этого было DFL-800 LAN - 192.168.0.0/24, интерфейс 192.168.0.250
всё работает.

Появилась задача через DGS-3120 и VLAN добавить новые локальные сети, например 192.168.130.0.24

Что сделал:

DGS-3120:
поднял VLAN0 для 192.168.0.0/24 и VLAN130 для 192.168.130.0/24
интерфейсы соотв 192.168.0.199 и 192.168.30.1 (это gateway для 192.168.130.0/24)
прописал маршруты:
192.168.0.0/24 192.168.130.1 1 Static Primary None Inactive
192.168.130.0/24 192.168.0.199 1 Static Primary None Inactive

DFL-800:
LAN сделал 192.168.0.0/16, прописал маршрут из 192.168.0.0/24 в 192.168.130.0/24:
9 Маршрут lan 192.168.130.0/24 192.168.0.199 60 No
и добавил lan-to-lan правило:
2 allow_all_lan Allow lan 192.168.0.0/16 any 192.168.0.0/16 all_tcpudpicmp

Что работает:
- пинг и трассировка от компа 192.168.0.100 до компа 192.168.130.10
- DFL всё пингует
- 192.168.130.10 пингует DFL (192.168.0.250) и DGS 3120 (192.168.0.199)

Не работает: комп 192.168.130.10 не пингует комп 192.168.0.100. TCP в обе стороны не работает между ними.

Логи (пример для порта 5001) :
Dec 14 11:46:20 dlink [2015-12-14 11:46:24] FW: CONN: prio=1 id=00600001 rev=1 event=conn_open rule=allow_all_lan conn=open connipproto=TCP connrecvif=lan connsrcip=192.168.0.100 connsrcport=18518 conndestif=lan conndestip=192.168.130.10 conndestport=5001
Dec 14 11:47:22 dlink [2015-12-14 11:47:27] FW: CONN: prio=1 id=00600002 rev=1 event=conn_close action=close rule=allow_all_lan conn=close connipproto=TCP connrecvif=lan connsrcip=192.168.0.100 connsrcport=18518 conndestif=lan conndestip=192.168.130.10 conndestport=5001 origsent=560 termsent=0
Dec 14 11:48:55 dlink [2015-12-14 11:49:00] FW: CONN: prio=1 id=00600012 rev=1 event=no_new_conn_for_this_packet action=reject protocol=tcp rule=LogOpenFails recvif=lan srcip=192.168.0.100 destip=192.168.130.10 ipproto=TCP ipdatalen=32 srcport=5001 destport=50496 tcphdrlen=32 syn=1 ack=1
Dec 14 11:48:58 dlink [2015-12-14 11:49:03] FW: CONN: prio=1 id=00600012 rev=1 event=no_new_conn_for_this_packet action=reject protocol=tcp rule=LogOpenFails recvif=lan srcip=192.168.0.100 destip=192.168.130.10 ipproto=TCP ipdatalen=32 srcport=5001 destport=50496 tcphdrlen=32 syn=1 ack=1

лучше подробную схему нарисуйте,
такую, чтоб вы на ней все поняли, даже если раньше эту сеть никогда в глаза не видели.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

зачем маршрутизацию разносить на 2 устройства?
это усложняет понимание
логи говорят, что вероятнее всего в правиле вместо nat стоит allow
посчитайте шлюзы через которые проходит пакет, если их больше чем 1, то надо ставить nat
и еще момент - маршрутизируя локальную сеть через dfl, Вы ограничиваете ее скорость (200 мб/с) и сильно (при хорошем трафике) нагружаете dfl

на компах какой шлюз - дгс или dfl?

DGS-3120 будет в удалённом офисе на выделенном канале 50Мбит организованным провайдером. Сеть 192.168.0.0/24 - в главном офисе, 192.168.130.0/24 - в удалённом.
то есть везде использовать шлюзом DGS - значит гонять двойной трафик по выделенному 50Мб каналу.

NAT не хотелось бы. 200 мб/с - будет достаточно.

в 192.168.0.0/24 шлюзом DFL, в 192.168.130.0/24 шлюзом DGS

Пришел к решению у всех в сети 192.168.0.0/24 локально прописать маршрут:
route add 192.168.130.0 mask 255.255.255.0 192.168.0.199
как временное решение пойдёт. Вся схема в целом временная.