Добрый вечер, уважаемые Гуру! Прошу помощи

Имеется сеть, прикручена на lan1, разбитая на 2 поддиапазона - х.х.х.1-30 и х.х.х.31-100
здесь же статикой по адресу х.х.х.2 живет криптошлюз
lan1 шлюз доступа к инету для хостов, всех кроме крипты
2 провайдера, файловер

Что уже работает из необходимого
трафик от х.х.х.1-30 выводится сразу в инет через NAT и файловер
трафик от х.х.х.31-100 выводится сразу в инет через NAT и файловер(зачем разрознено см далее)
выход в инет крипты прикручен к другому порту lan, работает, в нашей ситуации значения не имеет, тоже файловер

ЗАДАЧА
трафик от х.х.х.31-100 в зависимости от адреса ПОЛУЧАТЕЛЯ(например пакеты, адресованные 13.13.13.0/24) отфильтровать и направить на крипт. То есть трафик пойдет от отправителя из сети х.х.х.31-100 через х.х.х.2, и этот трафик желательно отправить без нат и без замены MAC отправителя. Оставшийся трафик (адресованный НЕ 13.13.13.0/24) уйдет в инет через нат(реализовано)

В принципе схема была реализована, но методом "пальцем в небо" - использовались Routing Rule и доп таблица маршрутизации
Но при завершении работ решил подчистить настройки, схему сломал. Очень хочется понять логику железа.
В частности логику работы PBR в целом, и определение в Routing Rule Source-Interface. Не раз уже встречал на форуме - именно этот параметр выставляют перебором. кто знает
Зависимость работы Routing Rule от таблицы main, логика есть, но какая никто не знает.
Чувствую что здесь нужно оперировать метриками и порядком разрешающих и роут правилами, но логику железки не понимаю, следовательно осознанно реализовать не могу.

И как должен выглядит маршрут от lan к lan через х.х.х.2, как разрешающее правило

Логика DFL -- автоматически ничего не делается, делается то, что напишите . Чтобы рулить более гибко, подсети и отдельные серверы со специфическими требованиями желательно разносить по разным интерфейсам, благо Вам для этого даже не нужно с VLAN заморачиваться -- на 1660 физических портов достаточно. В Вашем случае отдельный интерфейс желателен для криптошлюза.
Смущает требование сохранения MAC -- это не совместимо с L3-маршрутизацией. Возможно, нужен transparent mode, но я не имею опыта работы с ним. А вот необходимость PBR пока не усматривается.
Пока мало что понятно. Сети разделены, но обе на lan1. Чем разделены? Указанные Вами диапазоны по маске не разделяются.

логически разделены
Все необходимое реализовал
Кто может помочь с прозрачным режимом? Только он остался...

Прозрачный режим включается строго по мануалу, попробуйте
Но вообще - там тоже немало ограничений
Вы пишете "без нат и замены МАС" - возможно ли все-таки спрятать МАС? Если да, то можно ограничиться просто маршрутизацией с ARP proxy

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc