Между двумя лок. сетями 192.168.65.60/30 и 192.168.64.0/24 с помощью dfl-210 настроен IPSEC-туннель.
К лок. сети 192.168.64.0/24 подключен router, за которым находиться лок. сеть 192.168.21.0/26.
Необходимо чтобы был доступ из сети 192.168.65.60/30 к 192.168.21.0/26 и наоборот.
На dfl-210 с адресом 2XX.2YY.2ZZ.2TT прописан маршрут:
Interface: lan
Network: 192.168.21.0/26
Gateway: 192.168.64.253
Связь между сетями 192.168.64.0/24 и 192.168.21.0/26 есть.

На dfl-210 с адресом 1XX.1YY.1ZZ.1TT прописан маршрут:
Interface: ipsec_tunnel
Network: 192.168.21.0/26
Gateway: 2XX.2YY.2ZZ.2TT

В файрволе добавлены правила:
Action: Allow
Service: All Services
Source Interface: lan
Source Network: 192.168.65.60/30
Destination Interface: ipsec_tunnel
Destination Network: 192.168.21.0/24

Action: Allow
Service: All Services
Source Interface: ipsec_tunnel
Source Network: 192.168.21.0/24
Destination Interface: lan
Destination Network: 192.168.65.60/30


Связи между 192.168.65.60/30 и 192.168.21.0/24 нет.
В чем ошибка?

если не вдаваться в техническую часть вопроса, то нужно изменить параметры туннеля
1ТТ
localnet:
192.168.65.60/30
remotenet:
192.168.64.0/24
192.168.21.0/24
2TT
Remotenet
192.168.65.60/30
localnet
192.168.64.0/24
192.168.21.0/24

Маршруты прописывать в туннель не нужно. На 2ТТ должен быть маршрут на 192.168.21.0/24

А возможно немного вдаться в техническую часть вопроса? Т.к. не совсем понятно, как указывать две сети (192.168.64.0/24 и 192.168.21.0/26) в localnet и remotenet.

Если поставить localnet и remotenet как 192.168.0.0/17, то всё работает, но такая ситуация не соответствует необходимым условиям.

Я не хотел вдаваться в мат. часть.
Для того, чтобы использовать в параметрах IPSec несколько сетей, нужно содать группу и включить туда все нужные объекты.

спасибо
заработало