если же маршрут у vpn клиента руками прописать, то все норм

то vpn клиент ходит в s2s сеть

так стоп, эта s2s сеть, которая фактически находится позади ASA, - добавлена в домен шифрования NGFW шлюза? Что-то я запутался

получется VPN клиент <> NGFW <> s2s_lan

так

под доменом шифрования вы сейчас имеете VPN Domain

верно

но их два разных - один который этот, да, "Manually defined" - это для S2Sов. И есть который по кнопке ниже - Set domain for Remote Access - это для VPN-клиентов

да чтобы у VPN клиента появился ROUTE до s2s_lan - нужно сюда добавить s2s_lan

и сразу после apply начинаются DROP

если же не добавляь, а у VPN клиента открыть CMD и руками прописать маршршрут до s2s_lan через VPN клиент, то всен работает :)

у меня один объект (группа) и она для Define и для Set domain

это мисс конфиг получается?

Вооооот. Вот об этом я и говорю - что это должны быть две разные группы

Секунду

Допустим пример:
Office Mode сеть, из которой VPN-клиент получит IP-адреса: 192.168.0.0/24
Корпоративная сеть, которая находится позади NGFW (Чекпоинт) шлюза: 192.168.1.0/24
Сеть, которая находится позади ASA: 192.168.2.0/24

Для того, чтобы работало:
1) Домен шифрования для S2S, который указан рядом с 'Manually defined' : объект Simple Group, который включает 192.168.0.0/24 и 192.168.1.0/24
2) Домен шифрования для RA VPN, который можно настроить, нажав на Set domain for Remote Access - другой : объект Simple Group, который включает 192.168.1.0/24 и 192.168.2.0/24

вот так у меня

судя по этому, предполагаю, что это один и тот же объект, и как раз об этом я и говорю: это должны быть две разные группы