>чтобы сохранитб маршрут по умолчанию через fxp1, но в то же
>время, заставить работать и ВПН-клиентов.

дай порядок обработки(прохождения) пакетов через стек сети (если идешь на спутник)
только не так как думаешь - а проверь реально через log ipfw

пока будешь писать - сам поймешь :)
хотя бывали и глюки (какая версия фри?)

>подскажите пожалуйста: есть маршрутизатор с БСД: gw; на нём fxp0 - ифейс
>смотрит в сеть, fxp1 - смотрит на провайдера. Сеть имеет реальные
>адреса.
>
>default route через fxp1, напрямую работает.
>
>Теперь добавляем gif0 - GRE-туннель на спутниковго провайдера. Клиенты соединяются по VPN
>и должны заворачиваться natd через этот самый gre-туннель: клиентам ВПН назначаются
>серые адреса из 192.168.0.0/22.
>
>/sbin/natd/ -a <IP gre-туннеля> -p 8678 -s -m. в /etc/natd.conf: interface gif0
>

Давно с gif-ами не работал... Уберите gif0 из natd.conf и из правил фаервола. У вас нет устройства на момент создания правил и старта ната. Отталкивайтесь от ip
/etc/rc.conf
natd_enable="YES"
natd_flags="-a _ваш_ip_адрес_"
Второе, а зачем дважды на один и тот же nat отправлять, при чем при разных интерфейсах. Особенно если один у вас уже забит в natd.conf?