Спасибо Николай  @maxrip  пойду пробовать.

да. Если надо чтобы клиенты СД ходили в сети за другими КШ, а не только в защищенные сети СД к которому подключены

но это все не явно делается ))). пул клиентов СД объявляется в ПУ ЦУС как защищенная сеть, не привязанная к интерфейсу КШ с СД. А далее как обычно все )

У нас для этого рядом другой кш, через него заернуть же можно ?

а они оба под управлением одного ЦУС ?

А внешний интерфейс континента почему тогда не пингуется?

Это вот странно. Если там немного icmp трафика, можно попробовать запустить бесконечный пинг на арм1 и снять tcpdump с внутреннего порта, а потом с внешнего порта кш+цус. Посмотреть что как.
Для внешнего адреса какие нибудь сетевые объекты созданы?

Я собрал тестовый стенд, и решил как будет работать. С арм1 на арм2 пинги идут, вижу его полностью. С арм2 до арм1 тоже всё нормально. Создал два сетевых объекта арм1 защишенный с внутреннего интерфейса кш+цус и арм2 защищённый с внутреннего кш1. Дальше не могу понять (может оно так и должно работать), с арм1 не пингуются: внешний кшцус, роутера интерфейсы, интерфейсы кш1. С арм2 не пингуются также интерфесы роутера и кшцус, но внешний интерфейс кш1 пингуется

На счёт пинга внешнего локального к арму кш - нигода не проверял, но можно попробовать. С диагностикой пинга ротера и удалённых кш( например арм1 - кш1) проще - какие маршруты настроены на кш+цус, роутере и кш1?

На кш+цус внешний интерфейс, внутренний и 0.0.0.0 - интерфейс роутера и на кш соответственно. На роутер ничего ни делал

Может ища настроек роутера?

Шлюз какой нибудь не прописан

Так то если с арм1 до арм 2 ходит, то это уже хорошо)

если на роутере маршрутов нет совсем, то ситуация такая
АРМ2 пингует КШ+ЦУС
Пакет доходит до КШ+ЦУС, он отвечает на пинг и отправляет пакет по 0.0.0.0 на роутер.
А роутер про IP АРМ2 ничего не знает и пакет дропает.
Аналогичное с АРМ1 и КШ1.

Решение 1. (чисто для тестов)
Настроить маршрут на роутере до АРМ1 через ЦУС+КШ
Настроить маршрут на роутере до АРМ2 через КШ

Решение 2. (ближе к реальному)
На КШ+ЦУС настроить NAT для АРМ1.
На КШ1 настроить NAT для АРМ2.

Спасибо, завтра попробую. А также маршрутизацию можно на роутере настроить?

Если просто маршруты на роутере прописать + мягкий режим на КШ, то все должно пинговаться.

Мягкий режим это он же работает без правил фильтрации?

Не совсем. В этом режиме  нарушения правил фильтрации регистрируются в журнале НСД, однако IP-пакеты, не удовлетворяющие правилам фильтрации, не отбрасываются

Принял

Завтра буду мастерить