Значится, тогда так:

Таблица маршрутизации main:

1) Type: Route
Interface: wan2
Network: 172.16.0.48/29
Gateway: 172.16.0.50
Local IP address: 172.16.0.49
Metric: 100
Monitor: No

2) Type: Route
Interface: vlan2000
Network: 172.16.0.0/29
Gateway: 172.16.0.1
Local IP address: 172.16.0.3
Metric: 100
Monitor: No

3) Type: Route
Interface: vlan2001
Network: 172.16.0.16/21
Gateway: 172.16.0.17
Local IP address: 172.16.0.19
Metric: 100
Monitor: No

4) Type: Route
Interface: wan2
Network: all-nets
Gateway: 172.16.0.50
Local IP address: 172.16.0.49
Metric: 100
Monitor: No

Параметр Local IP address указываем в случае необходимости. Это относится и далее к создаваемым таблицам.

Теперь создаем таблицу маршрутизации RTab_toC в режиме Only:

Type: Route
Interface: vlan2000
Network: all-nets
Gateway: 172.16.0.1
Metric: 100
Local IP address: 172.16.0.3

Также создаем таблицу маршрутизации RTab_toD в режиме Only:

Type: Route
Interface: vlan2001
Network: all-nets
Gateway: 172.16.0.17
Metric: 100
Local IP address: 172.16.0.19

Создаем правило, что пакеты из сети х.х.х.х (интерфейс А) отправлять на С через таблицу RTab_toC:

Name: fromXXXX_toC_rule
Forward routing table: RTab_toC
Return routing table: main
Service: all_services
Source Interface: wan2
Source Network: xxxx_net
Destination Interface: Any
Destination Network: all-nets

Создаем правило, что остальные пакеты (сюда входит также и сеть y.y.y.y) из интерфейса А отправлять на D через таблицу RTab_toD. Данное правило должно быть ниже первого правила:

Name: fromA_toD_rule
Forward routing table: RTab_toD
Return routing table: main
Service: all_services
Source Interface: wan2
Source Network: all-nets
Destination Interface: Any
Destination Network: all-nets

Из D, как пишете, ничего приходить не будет, но если надо резать на всякий случай, то достаточно прописать первой строчкой в IP Rules запрет на прохождение.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Спасибо за ответ! Буду пробовать, как настрою - отпишусь!

После прописывания всех маршрутов, не могу сохранить изменения. DFL перестает пинговаться и зайти не могу, пока не произойдет возврат к сохраненной ранее конфигурации.
Видимо надо еще что-то прописать.

И еще была проблема с DFL, когда просто пустил через него весь интернет трафик без VLANов.
Не могли отправить почту на mail.ru, yahoo, не могли на этом форуме сообщения писать, хотя файлы с интернета скачивались, страницы открывались.
В правилах было только одно разрешающее правило:
C любого интерфейса на любой интерфейс, с любой сети на любую сеть, разрешены all_services. Что надо было бы в DFL еще настроить?

Из какой сети происходит пингование? Какой IP у ПК и куда (в какой порт) он подключен? Правило все то же (которое разрешает всем и все)?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Сеть другая. Надо чтобы с любой сети могли зайти на DFL через VLAN2000(LAN интерфейс).
Разрешающее правило тоже (всем и все).

Да в общем-то ничего и не надо настраивать специально. Если бы Инет приходил по какому-нибудь VPN или PPPoE, то еще можно было бы подумать насчет уменьшения MTU. А так ничего не надо. Теряюсмь в догадках, в чем проблема.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

А надо, чтобы с любой сети и любого интерфейса могли зайти? В данном случае для начала надо бы активировать ту маршрутизацию, что я расписал выше, а потом уже еще более тонко настраивать. Т.е. создать VLAN2000 на физическом LAN, разрешить с него заходить в веб-настройки DFL, и пусть тегированный VLAN2000 с порта DGS. Ну и донастроить всё остальное. Когда все активируется и будет работать как надо (я имею в виду разруливание правил маршрутизации), добавим возможность настроек с других сетей.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Я активировал эту маршрутизацию, мне пришлось добавить в таблицу main еще один маршрут:
Интерфейс vlan2000
Сеть localnet
Шлюз vlan2000_gw
Локальный IP vlan2000_ip
Метрика 100
Без него не мог сохранить указанную выше маршрутизацию.
Теперь к wan2 я подключил комп и пытаюсь с него пинговать внутренние сети.
Пингую только localnet, маршрут к которой указал выше, остальные сети не пингуются.
Вывод: видимо используются маршруты только main. Две другие таблицы маршрутов не используются. Что еще добавить в настройки?

localnet - это вообще что за подсеть?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Это группа сетей
10.10.0.0/19
10.10.32.0/19
10.10.64.0/19
10.10.96.0/19
Другие сети, к которым должен быть доступ через VLAN2000:
xxx.xxx.12.0/24
yyy.yyy.16.0/24

В таком случае дополнительно созданные таблицы установите не в режиме Only, а в режиме Default. Маршрут до localnet удалите. И попробуйте снова попинговать.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Я правильно понимаю, что имеется в виду маршрутизация пакетов из этих подсетей с интерфейса WAN2 на VLAN2000 на интерфейс LAN?
Тогда объединяете их в группу и указываете в правиле fromXXXX_toC_rule в поле Source Network. В эту же группу в будущем будете добавлять те подсети, которые должны из WAN2 уходить исключительно в VLAN2000.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Нет не правильно.Это внутренние подсети, также подключены через VLAN2000 к интерфейсу LAN DFL800.

Тогда, конечно, для них должен быть маршрут в таблице main. В исходной-то задаче эти подсети не фигурировали. Пакеты с этих подсетей должны идти тегированными на DFL. Далее в настройках Remote Management необходимо сделать доступ с VLAN2000/all-nets для управления из этой сети. Либо придумать некую группу интерфейсов, куда включить сразу и LAN, и WAN2, и VLAN2000/VLAN2001 и использовать эту группу в настройках единственного правила Remote Management.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)