Надо поднять тунель между двумя DFL-860E
один с белым адресом, второй за NAT
это возможно?

настроил оба по "9.2.1. IPsec LAN to LAN with Pre-shared Keys" из документации
сначала ничего не происходило
и я нашел в логах ошибку Peer IP address mismatch
она ругалась на то, что есть несовпадение ID и реального адреса - в качестве ID у меня был указан внутренний адрес за NAT, а сервер с белым IP видел внешний адрес
как только я прописал на той стороне, что за NAT текущий внешний адрес - тунель поднялся
но проблема в том, что этот адрес у провайдера динамический и на следующей сессии может измениться

как настроить так, чтобы не возникало mismatch?

Спросить у провайдера диапазон ип адресов, и вписать его в качестве удалённой точки.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Настраивайте тоннель типа IP-to-all_nets.
т.е. тоннель с динамическим плечом, как у вас.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

на самом деле было достаточно поставить endpoint на стороне с NAT в None
все заработало