>> Покажи своему другу и спроси - всё ли ему понятно.
> Показал, понял.

НЕ ВЕРЮ!
>>> Что именно было не понятно в вопросе? Обращайтесь, объясню.
>> Позволю тебе напомнить что ты спросил --
>> "Какие правила нужно добавить, чтобы все
>> "Локальная сетка (60.1)" -- это относится к LAN1,LAN2,LAN3,LAN4 или LAN5?
> ...но в сетях за ГВ 2 нет интернета...
>> А подсеть 192.168.60.0/23 ?
>   spdadd 192.168.60.0/23...
>> а слабо показать таблицу маршрутизации на обоих роутерах?
> Gw1:
> Destination        Gateway          Flags     Refs      Use  Netif Expire

Мда, в такой сети без поллитры не разберёшься - показывай часть rc.conf касающуюся настройки сети.
> Но думаю, что маршруты не имеют отношение к проблеме. Т.к. в зависимости
> от правил spdadd то одно работает, то другое.

А без правил - работает?
И вообще - зачем шифровать трафик интернета?

spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226/require;
    spdadd 0.0.0.0/0 192.168.60.0/23 any -P in ipsec esp/tunnel/192.168.100.1-81.17.174.198/require;
^^^^^^^^^^^^^Это опечатка?