[winbond]

1. Вообще-то перезагрузка фряхи или её зависание даст точно такой же эффект ) Ладно. Где-то в настройках агента в консоли ТМГ можно найти поведение FWC при неудаче коннекта с TMG и прописать там альтернативный шлюз. По умолчанию, там прямой доступ к системному default gateway.
2. Если так сделать, то TMG будет ругаться на то, что адрес фряхи принадлежит сети "Внутренняя" и он не будет из внутренней во внутреннюю маршрутизировать. Поэтому надо её адрес из адресов внутренней исключить и создать отдельную логическую сеть, для которой делать свою маршрутизацию и свои правила. Если присмотритесь к встроенному VPN, то увидите как это сделано.

Вообще можно еще создать список исключений для FWC, чтобы он не трогал внутренние приложения, которым требуется только site-to-site.