H/W A1, F/W 2.20.01.05-4840

1. wan1 -- DHCP-client, соответственно имеем автоматически созданные в адресной книге адреса wan1_dns1 и wan1_dns2. Настроен, согласно FAQ, dns relay с использованием SLB SAT. Так вот, если в правиле SLB SAT, в качестве адресов серверов использовать wan1_dns1 и wan1_dns2, то правило не работает. Если же заменить wan1_dns1 и wan1_dns2 на объекты, созданные вручную, то правило начинает работать.

2. Есть удаленный DFL-800 c адресом А. Между устройствами необходимо настроить IPSEC-туннель таким образом, что трафик IPSEC на адрес А уходит через wan2, весь остальной трафик на А уходит с wan1. Для решения был настроен PBR. Заставить работать не удалось, т.к. в routing rules отсутствует возможность выбора core в качестве Source interface. Попытки указать any или группу интерфейсов, в которую включен core, результата не дали. PBR настроен верно, т.к. использование в качестве Source interface lan и поднятие туннеля из lan, а не с устройства, работает корректно.

1. Правильно, SAT SLB работает только со статическими объектами.
2. Вам надо было просто указать маршрут до remote endpoint через wan2 с меньшей метрикой чем wan1 и IPSec бы поднялся через второй wan.

Если я так сделаю, то через wan2 пойдет весь трафик. Мне же нужно чтобы уходил только IPSEC. Любой другой должен уходить через wan1

Так и будет только IPSec, вы же указываете маршрут только для точки а не к all-nets

Ну так какая разница до точки или до all-nets?
Еще раз -- мне нужно до конкретного адреса пустить трафик IPSEC через wan2. До этого же адреса пустить весь трафик, кроме IPSEC, через wan1.
Насколько я понимаю, это должно реализовываться с помощью PBR. Но реализовать не получается.

Нет, это не так организовывается, вы прописываете маршрут примерно такого вида.
interface wan2
network IP точки на которую будет подниматься IPSec
gateway wan2_gw
метрика меньше чем на wan1.

Сергей, прописывание маршрута приводит к тому, что ЛЮБОЙ трафик до нужной точки идет через wan2.

Да именно так.

Естественно я понимаю, что это так.
Итак, вывод: применить PBR к трафику, генерируемому самим устройством, невозможно. На мой взгляд это ошибка.

Как вы настроили устройство? Приведите настройку PBR и ваших таблиц маршрутизации, лучше бы посмотреть ваш конфиг.

Спасибо, Сергей. Конфиг вышлю чуть позже (кстати, на какой адрес? из Вашего профиля?).

Да на него.