Есть вот такая схема подключения:
lan1=[dfl210]---ipsec-----[dfl800]=lan2=[rras-win2k3]=lan3

lan1 192.168.110.0/24
lan2 10.10.0.0/24
lan3 192.168.0.0/24

между DFLками ipsec канал поднят. И такая вот ситуация из lan3 в lan2 и lan1 я могу попасть, а из lan1 только в lan2. на lan1 дополнительно прописал статическую маршрутизацию 192,168,0,0/24 ipsec_interf gateway внешний интерфейс rras(работает как маршрутизатор).
в чём может быть дело, почему трафик из лан1 направленный в лан3 не доходит до этой подсети.

Шлюзом в lan3 для 210 должен быть 800. Также проверьте разрешает ли 800 этот трафик.

а внутренний или внешний интерфейс, если они через впн канал соеденены? Интерфейс указывать какой, впн канал или ван?

Маршрутизация в _IPSEC_ туннель невозможна!
Для того, чтобы маршрутизация была не в одну сеть а в несколько нужно использовать в качестве RemoteNetwork и LocalNetwork группы IP адресов. К примеру:

На стороне А будет выгдялеть как
localNet : Группа объектов (192.168.1.0/24 192.168.2.0/24 192.168.3.0/24)
RemoteNet : Группа объектов (192.168.4.0/24 192.168.5.0/24 192.168.6.0/24)

Маршрутизация пропишется _автоматически_ если будет указана галочка. Add route.

Правильно ли я понял в настройках ipsec туннеля я должен указывать не определённую сеть а группу сетей, так?

Смотря для чего, для орагниазции доступа не NET-NET, а MANY_NET--MANY_NET или Hub'N'Spoke -- ДА.

в моём случае, который указан выше, как найти выход из положения?

net to many_net

на DFL800 появились сбросы пакетов адрессованые в сеть lan3 источник ipsec туннель. Надо какое-то хитрое правило создать что ли?

Не хитрое, а конкретное разорешающее доступ в сеть из туннеля.

2007-08-06 15:23:03 Warning RULE 06000051 Default_Rule ICMP

vpn1

192.168.110.100
192.168.0.100

ruleset_drop_packet

drop

rev=1 ipdatalen=40 icmptype=ECHO_REQUEST echoid=4940 echoseq=43777

вот такое вот выдаёт, хотя правило разрешающее из одной подсети в другую есть, я его создавал вместе с туннелем. Какое ещё правило ему нужно?!!!!

name-ottudasyda
action-allow
sourceInterface-vpn1(созданный мною ipsec tunnel)
SourceNetwork-kryzopl(удалённые сетки ip4group)
DestinationInterface-lan
DestinationNetwork-mestnye(наши ip4 group)
Services-all_services

обычное правило ему почему то не подходит!

Если 0,100 это LAN_IP то для доуступа к нему нужно правило к DST_INT = CORE
Если нет, то проверяйте объекты внутренних и удалённых сетей.

0.100 это lan3

описана ли такая маршрутизация где-нибудь в документации? есть ли какой-нибудь фак? может где есть на примерах ?