Добрового времени сток, коллеги !
Прошу вашей помощи, ибо зашел я в тупик.
Итак, имеется DFL-860E, прошивка 12.00.13.05-34465
Я создал IPSec тоннель (IKEv2 + сертификаты, пользователи находятся в роуминге)



Создал правило:



Для удаленного пользователя был настроен VPN IPSec клиент (TheGreenBow IPSec VPN Client). Кроме прочего, была указана lannet интерфейса lan DFL и ее маска. Адрес VPN клиента не указывался (оставил пустым).

В такой конфигурации всё прекрасно работает: тоннели поднимаются, пакеты в lannet и из нее в тоннель ходят.

Возникла необходимость выдавать подключающемуся удаленному VPN клиенту IP-адрес и DNS от внешнего DHCP-сервера, находящегося в сети lannet.

Для этого был создан соответствующий IP Pool, в котором в качестве DHCP сервера был указан внешний DHCP-сервер, находящийся в сети lannet.



Далее был создан объект IKE Config Mode Pool и к нему был привязан созданный ранее IP Pool



В настройках IPSec тоннеля, для фазы-2, Config Mode указан как Server, а в качестве Config Mode Pool указан созданный ранее объект IKE Config Mode Pool



Правило оставил без изменения, в настройках VPN IPSec клиента указал, что конфигурацию удаленной сети и адрес VPN клиента следует запросить у DFL.

В такой конфигурации тоннель поднимается, IP адрес от внешнего DHCP-сервера VPN клиентом получается и даже пакет уходит из тоннеля в lannet, но на этом всё: пакеты уходят и не возвращаются – хосты сети lannet не пингуются. В логе наблюдается вот такая картина:



Что не так ? Уже всю голову себе сломал… Если кто-то сталкивался с похожим – пожалуйста, ткните носом, где я не прав…
Заранее - большое спасибо !