Доброго дня форумчане..нужен понимающий человек..
Ситуация следующая
как понятно из названия темы есть DFL860E
подключено к нему два провайдера разных(два белых ипа) 98.98.98.98 и 81.81.81.81
внутренний айпи лана 172.16.0.2
сделана балансировка(между провайдерами)
сделано резервирование провайдеров на случай если один упадет

поднят на нем впн сервер с левым (192.168.0.150-192.168.0.200) пулом адресов для подключения клиентов извне..по ван 98.98.98.98 и 81.81.81.81

проброшен нат от лана до впнпула, чтобы клиенты могли видеть машины внутри сети и к ним коннектиться.. до этого места все хорошо и все работает..
однако, часть сетей(172.16.55.0/24) находится за другим шлюзом(172.16.0.1) который стоит в сети лан (172.16.0.0/24)
прописав на dfl машрут что если кто-то у нее спросит доступ к 172.16.55.0/24 надо перенаправить запрос на 172.16.0.1..не работает.. ип рулес правильные...

в чем проблема.. на циско есть NAT Extendable позволяющий увеличить размер пакета добавив в него информацию о том кому этот пакет вернуть ..
то есть запрос.. я так понимаю.. на 172.16.0.1 улетает.. однако он возвращается на 172.16.0.2(лановский порт) и DFL не знает что с ним делать так как он прилетел совсем из другой сети..

адреса взяты для примера.. то что находится за другим шлюзом(172.16.0.1) это закрытые шифрованные сети в которых нет инета впринципе..
иные варианты не рассматриваются.. и так понимаю что это как бы низя делать но с нынешней ситуацией в мире другого не дано..

Эм... недавно была похожая проблема. Решал костылем. Может и тут пригодится.

Что было у меня: Есть lan 10.0.0.0/24 со шлюзом сети 10.0.0.1, сам dfl - 10.0.0.2. На DFL поднят VPN-server 10.0.66.0/24 с dfl в роле шлюза сети 10.0.66.1. Есть зона интернета (обзовем образно DMZ), в которой есть интернет. Шлюз сети lan сидит на DMZ вторым интерфейсом. И была проблема в том, что как только я из VPN-сети пытаюсь поднять соединение до компа в lan, соединение идет очень сложным образом. VPN-DFL-LAN....LAN-Шлюз_LAN-DMZ-DFL и тут рубится правилом, что запрещены соединения DMZ-VPN-сеть.

Может я не правильно понял сути Топикстартера, но как-то так:
Тут думаю так же получается, что шлюз 172.16.0.1 не знает о существовании сети 192.168, и рубит правилом "нет интернетам". Нужно добавить куда-то (на шлюз) маршрут до DFL, что если идет запрос в VPN-сеть, то заворачивать их на DFL. По крайней мере, когда я на свой шлюз интернета прописал маршрут, что все запросы в VPN-сеть возвращать на DFL, то все заработало. Или надо на всех шифрованных клиентах переписывать таблицу маршрутов, что если спрашивать vpn сеть - то шлюз 0.2, иначе 0.1
Думаю что все-таки проблема не в том, что маршрут на DFL не работает. Он скорее всего работает, теряется ответ от 55 зоны.

Может эти размышления как-то помогут.

все работает , даже в более сложных схемах , рисуйте картинку , подписывайти интерфейсы и IP , и сразу встанет на свои места.

буду неустанно повторять , пакету надо знать не только как достичь цели, но и как вернутся .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

пинг из другой сети получен на самой DFL.. то есть он пингуется теперь.. но только с самой DFL
однако он попал в дефолт роуте.. и не вернулся на впнпул.. то есть на клиента впн подключения..
ответ не имеет информации о source и destination.. закрытая сеть находится за HW2000(vipnet) есть подозрение.. что заголовки отрезает эта говеная железка.. либо может я что-то не так понимаю..

информация о пакете перехвачена из сети варесшарком