Два офиса (lan1 и lan2, в каждом по DFL-210) соединены через VPN IPSec на портах WAN. В lan1 подсоединились ко второму провайдеру через порт dmz и PPPoE, маршрут по умолчанию направили на PPPoE. lan1 юзает инет без проблем.
Надо туда же направить инет с lan2 через VPN.
На DFL(lan2) прописываем маршрут:
all-nets -> VPN-Interface

правила:
allow lan lannet -> VPN-Interface all-nets ping-outbound
allow VPN-Interface all-nets -> lan lannet ping-outboud
allow lan lannet -> VPN-Interface all-nets all-services
allow VPN-Interface all-nets -> lan lannet all-services

На на маршрутизаторе в lan1 добавил правила (маршрут по умолчанию уже есть):
NAT VPN-Interface lannet2 -> PPPoE-Interface all-nets ping-outbound
NAT VPN-Interface lannet2 -> PPPoE-Interface all-nets all-services

(Ну еще дополнительно прописываем маршруты на адреса маршрутизаторов на wan, чтобы VPN работал внутри сети первого провайдера)

Не работает. В чем ошибка?

Через IPSec канал могут ходить пакеты лишь двух соединенных сетей.

Соедините сети через PPTP VPN.