собственно и вопрос, как настроить так, чтобы ВАН1 четко работал только с ДМЗ, а ВАН2 только с ЛАН?

Нутром чую, что дело в Политиках маршрутизации... то есть нужно создать альтернативную таблицу маршрутизации (где метрика ван2 меньше чем метрика ван1, а в основной таблице наоборот), затем в РоутингРулез добавляем правило согласно которого все_ТЦП_УДП_ИЦМП форвард табле альтернативная и ретурн табле тоже альтернативная при том Соурс - ДМЗ, Дистанейшн - ВАН1.

правильно ли я мыслю (эксперементировать нельзя, ругаютси ) и не скажется ли это на безопасности что именно все_ТЦП_УДП_ИЦМП, или безопасность определяется IP_Rules?

Да дело в политиках маршрутизации.
Предлагаю вам сделать примерно так.

Создайте альтернативную таблицу маршрутизации например alt, где создайте роут wan2 -> all-nets -> wan2_gw с метрикой немного меньшей чем wan1 в главной таблице маршрутизации.

создайте правило PBR
Forward Table: alt
Return Table: main
Service: all_services

дальше фильтры интерфейсов
lan - lannet -> wan1 - all-nets

И незабываем про IPrules

Спасибо за совет, в понедельник буду на работе опробую.