Здравствуйте! Проблема в следующем. Есть 2 локальные сети - LAN1 и LAN2. Между ними ip-sec туннель, но не через интернет, а напрямую через несколько хабов по кабелю. На той и другой стороне одинаковые железки - dfl-210. Соответственно, wan-порты у обоих заняты. В LAN2 стоит интернет-шлюз. Необходимо, чтобы пользователи как LAN1, так и LAN2 могли выходить в интернет через этот интернет-шлюз. То есть, я понимаю, что надо одну DFL-210 настроить, чтобы у нее был маршрут на этот шлюз. Но как его задать и, главное, на каком интерфейсе, ведь wan уже занят, значит либо на lan, либо на dmz. Подскажите, пожалуйста, а то уже голову сломал в поисках решения.

Это достаточно просто разруливается правилами и маршрутами.
Кроме того, IPSEC надо будет изменить так, чтобы со стороны интернет-шлюза была подсеть 0.0.0.0/0.
И совершенно неясно где у вас и какой выход в интернет.
На обоих DFL-ях DMZ-порты свободны?

Спасибо. Конкретней ситуация такая:
LAN 1 имеет адреса 192.168.1.0/24, wan-порт 192.168.110.1.
Это первый dfl-210.
LAN 2 имеет адреса 192.168.159.0/24, wan-порт 192.168.110.2.
Это второй DFL-210.
Оба dfl являются шлюзами друг для друга (между ними IP-SEC).
В сети LAN 2 есть шлюз в интернет на базе freebsd, адрес внутрненней сетевой карты - 192.168.159.12. DMZ-порты на обоих устройствах свободны.
Как можно задать маршрут на втором dfl? К сожалению, нигде не нашел похожих примеров.

Сначала надо переделать IPSec на подсеть 0.0.0.0/0 со стороны интернета. Тогда на втором DFL и маршруты и правила получатся какие надо.

Потом на первом DFL надо создать маршрут и правило для адресации всех локальных пакетов на основной шлюз на FreeBSD. Видимо, этого достаточно.

Я бы сам, наверное, для красоты посадил FreeBSD в дополнительную сеть на DMZ порту на первом DFL. Это бы свело всю маршрутизацию в одну точку. Но, в принципе, это не обязательно.

Надо слегда изменить настройки IPSec обоих устройств, на устройстве через которое будет выходить в интернет изменить в IPSec local net на all -nets а на удаленном remote nets на all-nets, при такой конфигурации не забываем прописать маршрут на удаленном DFL чтоб сам тоннель встал, дальше дело за правилами.

Большое спасибо за помощь! Все заработало, правда, нужно было еще задать маршрут на FreeBSD до сети 192.168.1.0/24 через DFL.