Есть DI-804, локальный интерфейс имеет IP 192.168.10.1.
Между DI-804 и др. девайсом поднят IPSec-туннель (локальная сеть 192.168.10.0/24, удаленная сеть 192.168.0.0/21).
На DI-804 прописан статический маршрут: сеть 192.168.0.0/16 посылать на 192.168.10.254.
У меня прописан шлюзом по умолчанию локальный IP DI-804 (192.168.10.1)
Несколько вопросов:
1. Если я обращусь к адресу 192.168.5.1 - меня завернут в туннель или отправят на 192.168.10.254?
2. Если я обращусь к адресу 192.168.100.1 - меня отправят на 192.168.10.254 или пошлют в интернет через WAN-порт?
3. Если с другой стороны IPSec-туннеля придет пакет с адресом назначения 192.168.100.1 - он отправится на 192.168.10.254?

Заранее спасибо.

При создания туннеля маршрутизация создатся автоматически. Никаких дополнительные туннелей создавать не нужно.
Я не понимаю что за машина 192.168.10.254? И чем она занимается?

За машиной 192.168.10.254 находятся сети 192.168.20-254.0/24. По моему замыслу в туннель должны заворачиваться пакеты, предназначенные сетям 192.168.1-6.0/24, а пакеты для сетей 192.168.20-254.0/24 должны идти на шлюз 192.168.10.254. Также пакеты, приходящие с другой стороны туннеля и предназначенные для сетей 192.168.20-254.0/24, должны идти на шлюз 192.168.10.254.

маска д.б тогда не /24 , а напр. /22 . И для маршрутов в 20-ые подсетки - также а вот это,ИМХО, вряд ли !

В первом сообщении написано, что в туннеле удаленная сеть 192.168.0.0/21, и маршрут прописан статический

Только что будет приоритетнее, туннель или маршрут?

Меньшая маска обычно приоритетнее. То есть сначала 21, потом уже 16.

Тогда можете поступить проще, обозначайте в качетве основного шлюза 10.254 который уже и будет разруливать трафик -->
192.168.0.0/21 -> DI-804
Все остальные куда нужно

Проще-то можно, но будет ли работать так, как я привел? И будут ли пакеты с того конца туннеля ходить как надо?

Если я её правильно понял, то будет.