VLAN и политическая маршрутизация.

Привет, у меня проблема с политиками маршрутизации. Не могу пинговать алиас на интерфейсе WAN. Настройка следующая: у меня интерфейс WAN с 2 алиасами и разными VLAN. IP1 192.168.2.10, имя DATA, VLAN 2, этот IP используется только для IPSec-туннеля, без выхода в интернет, только для передачи данных. И IP2 10.10.10.20, имя INTERNET, VLAN 3, этот IP используется только для интернета. Шлюзы настроены так: `ip route add dst-address=192.168.0.0/16 gateway=192.168.2.1 (IPSec)` `ip route add dst-address=0.0.0.0/0 gateway=10.10.10.1 (Интернет)` Я настроил маршрутизацию так: `ip firewall add chain=output out-interface=DATA src-address=192.168.2.10 dst-address=0.0.0.0/0 action=mark-routing new-routing-mark=route-data passthrough=no` IP добавил еще один шлюз: `ip route add dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-mark=route-data (это не работает!!!)` С такой настройкой я могу пинговать только интернет IP 10.10.10.20, для чего у меня есть маршрут dst=0.0.0.0/0 gateway=10.10.10.1, и я не могу пинговать IP DATA 192.168.2.10 из-за маршрута dst=192.168.0.0/16 gateway=192.168.2.1. Я не хочу делать SNAT для ICMP-пакетов для этого назначения, я хочу решить проблему с маршрутизацией на основе политик. Есть какие-нибудь идеи, почему это не работает? Заранее спасибо. Фаттон