есть две сети, котроые выходят в инет через dfl-700. Получается такая схема:

LAN1 (192.167.1.0/24)
|
|
router1 (80.92.A.B)
|
|
INET
|
|
router2 (80.92.C.D)
|
|
LAN2 (192.167.0.0/24)

задача: настроить машрутизацию между сетями.

что я сделал:
1. прописал на router1 машрут к 192.167.0.0/24 через 80.92.С.D
2. в политике WAN->LAN машрутизатора router2 добавил правило "пропускать все пакеты от 192.167.1.0/24"
теперь по идее с router1 можно пинговать сеть 192.167.0.0, но почему то пинги не проходят...что не так?

А NAT отключили на устройстве?
Если да то должно быть маршрут прямой, до устройства(1) и обратный с устройста(2)
Если Вы NAT не отключили то ничего ходить не будет.

если я отключу NAT, то пользователи сети не смогут выходить в инет, так ведь? Это тоже не вариант

Совершенно верно, но такова реализация устройства.
Хотя есть один вариант... Но нестандартный с использованием DMZ как интерфейса для доступа к локалке.

т.е. я локалку подключаю к DMZ и все? я правильно понял? А чем это хуже?

а вот я еще подумал, а может между роутерами поднять VPN? пробовал IPSec - слишком медленно получается, порядка 5Mbit...

а обычный VPN что то не получается.
я поднял на одном роутере pptp-server, на втором роутере pptp-client, а как их "сконнектить"? Как поднять туннель?

Для создания автоматического роутинга вы должны указать параметр Remote Net в качестве которого будет удалённая подсеть.

указан, и что дальше?

Я не понимаю, вы хотите чтобы мы пришли к Вам всё настроили? Задвайте вопросы, получайте ответы. На вопрос "Что дальше?" Что ответить я не знаю.
Привидите конфигурацию, тогда можно будет о чём-то говорить.

на одном роутере поднят pptp-server:
outer ip: 80.92.104.137
inner ip: 192.167.0.254
client ip pool: 192.167.0.200 - 192.167.0.250
остальное все по умолчанию.

на другом роутере pptp-client:
username и password - один из тех, что заведен на первом роутере
remote gateway: 80.92.104.137
remote net: 192.167.0.0/24
остальное все по умолчанию.

теперь как между этими роутерами создать vpn-соединение чтобы сети, которые находятся за ними могли видеть друг друга.

а когда создавали пользовтеля на сервере указали удалённую подсеть?
Галка VPN в GlobalPolicy стоит? Её нужно снять и разрешить доступ от интерфейса к сети.

разрешить доступ от какого интерфейса к какой сети?

С интерфейса PPTP к лан, ну и обратно, если надо.