Симптомы

• Не работает правило реверс-прокси или VPN на IP адресе резервного провайдера, но при этом DNAT работает

Решение

Для решения данной проблемы необходимо создать правило PBR, в котором указать внешний адрес ISP2 в Адресе источника, (так как PBR заворачивает именно ответный трафик, который идёт от внешнего интерфейса), а Зону источника при этом оставить в значении Любая, так как зона проставляется, когда пакет попал на интерфейс с этой зоной, а если он генерируется от самого интерфейса - никакой зоны не будет. Выглядеть это будет примерно так:

Причина

PBR не требуется для правил DNAT, так как внутри системы уже имеются преднастроенные правила PBR для обратного трафика DNAT того ISP, через которого приходят запросы. Но требуется например для реверс-прокси или VPN.
Провайдер использует антиспуфинг и блокирует пакеты с адресов, не зарезервированных за клиентом.