@Cprof 
Добрый день. Роутер работает под управлением контроллера?

  @Ame_ru , нет, автономно

  @Cprof 

Добрый день, 

В автономном режиме нельзя, к сожалению, указать несколько подсетей в туннеле. 

  @reaper_ru 

Спасибо за ответ.

А подскажите есть ли возможность безболезненно передать эксплуатируемый роутер под управление контроллера?

Интересуюсь, так как на объекте есть контроллер OC200, и вижу теперь, что там есть возможность задать нужные мне настройки.

Но беспокоюсь, что потеряю удаленый доступ к роутеру.

  @Cprof 

После добавления в контроллер все, что было настроено в автономном режиме, будет удалено и в роутер загрузится то, что настроено в контроллере. Поэтому, Вы можете до добавления в контроллер роутера преднастроить данные провайдера и другие функции типа проброса портов и т.п. чтобы при добавлении все это загрузилось в роутер. Сделайте перед этим бекапы роутеров на всякий случай, чтобы можно было его сбросить в случае необходимости и быстро загрузить бекап. Каждый роутер должен быть добавлен в отдельную локацию контроллера и на роутере, за которым стоит контроллер, должен быть выполнен проброс портов 29810 - 29816: https://www.tp-link.com/ru/support/faq/3281/https://www.tp-link.com/ru/support/faq/3281/

Попробуйте вначале на том, который доступен Вам физически. 

  @reaper_ru 

В общем, что сделал:

• Обновил прошивку ER605 сначала до 2.2.3 Build 20231201 Rel.32918, затем до 2.2.5 Build 20240522 Rel.75860;
• На контроллере OC200 подготовил настройки роутера и включил облачный доступ;
• Передал ER605 под управление OC200.

Из неприятного - после передачи под управление контроллера пропала настройка L2TP VPN-сервера.
Так что доступ к сети я потерял, но облако спасло от "дальней дороги".

Возможность настраивать доступ к нескольким сетям появилась, но проявилась и новая особенность.
Судя по всему под управлением контроллера нельзя указать разные ip-пулы для VPN-пользователей.
Если это не так, пожалуйста, ткните носом где настроить.
А то на этой возможности и держался весь мой план по L2TP-тунелю, так как фиксируя ip-адрес для конкретного пользователя можно было настроить обратный маршрут.
Отмечу ещё, что я не фанатик конкретного протокола, просто на маршрутизаторе Y.Y.Y.Y другого вендора выбора фактически нет.

В итоге на данный момент офисы объеденены через комутатор Z.Z.Z.Z ещё одного вендора.
Между ER605 и Z.Z.Z.Z использую WireGuard, а между Z.Z.Z.Z и Y.Y.Y.Y - L2TP.
На Z.Z.Z.Z маршрутизирую трафик из одного тунеля в другой.

До передачи ER605 под управление OC200 использовал L2TP от Z.Z.Z.Z к ER605.
На ER605 удаленную сеть указывал как 172.16.0.0/18, а на Z.Z.Z.Z осуществлял маршрутизацию к сетям за Y.Y.Y.Y.

В целом, понятно что Y.Y.Y.Y настойчиво просится под замену, но и к TP-Link'у есть вопросы почему часть опций доступна только в одном режиме работы, а другая - в другом.