Маршрут в alternate я не создавал.
В примере с ping_inbound этого не требовалось.

Да и по логике вещей в alternate должно быть достаточно
одной записи, как у меня или всё таки я не прав?

Так маршрут всё-таки в alternate должен быть? С какой метрикой?

По поводу Routing Rules - в примерах везде описывается его использование именно для перенаправления траффика в альтернативную таблицу.

Если можно, опишите весь процесс прохождения пакета по фильтрам/правилам/таблицам при соединении с WAN2.
Как оно должно быть.

- Отключите маршрут для любого из ваших тунелй в main таблице, создайте аналогичный в alternate, и не забудьте на DFL в филиале поменять RemoteGW на wan2_ip головного dfl.

в таблице main нет возможности удалить маршруты туннелей.
там есть маршрут к all-nets wan1 через который cейчас и работают филиалы.

исходя из размещенных здесь скриншотов, что точно я должен сделать?

прописать в alternate маршрут к endpoint филиала через wan2_gw?

Хорошо, завтра попробую.
Спасибо.

В этом случае IPSEC туннель sochi_ipsec будет устанавливаться _только_ с WAN2 головного офиса, так как в таблице main не будет маршрута?

Я правильно понимаю?

Не помогло. Туннель не поднимается.

В качестве подопытного взял туннель Frunze4-ipsec
Скриншоты

Таблица main
http://i061.radikal.ru/0903/48/b9870094842a.jpg

Таблица alternate
http://s61.radikal.ru/i174/0903/df/760db27276dc.jpg

PRB
http://s52.radikal.ru/i137/0903/d0/b696730f60ce.jpg

Правила
http://i020.radikal.ru/0903/7f/02ffe9d2cdcb.jpg


В филиале естесственно в качестве endpoint для туннеля указан адрес wan2 головного офиса.

гляньте в PBR - исходя их него, иницировать подключение надо "из филиала", из нутри сети главного офиса у вас в данном случае ничего и не будет подыматся

тогда просто пропишите статические маршруты на DFL через wan2 до удаленных устройств.

Настройка PBR для приема IPSec через вторйо wan давольно не тревиальна.