Проблема следующая.

На DFL-800 прописано 2 ipsec туннеля, настройки туннелей абсолютно одинаковые.

Первый DI-804HV подключается без проблем.

Второй DI-804HV выдает:
Saturday September 16, 2006 17:38:23 Send IKE (INFO) : delete 195.131.xx.xx -> 195.218.xx.xx phase 1
Saturday September 16, 2006 17:38:23 IKE phase1 (ISAKMP SA) remove : 195.131.xx.xx <-> 195.218.xx.xx
Saturday September 16, 2006 17:38:45 Send IKE M1(INIT) : 195.131.xx.xx --> 195.218.xx.xx
Saturday September 16, 2006 17:38:51 IKED re-TX : INIT to 195.218.xx.xx
и так до посинения.

DFL-800 в это время пишет:
Bad logmsg: [2006-09-16 17:42:59] <6>FW: IPSEC: prio=1 Phase-1 [responder] between ipv4(any:0,[0..3]=195.218.xx.xx) and ipv4(any:0,[0..3]=195.131.xx.xx) failed; Timeout.

Прошивки на DI-804HV одинаковые, настройки полностью идентичные.
Пробовал сбрасывать до заводского состояния 804, удалял SA на DFL-800, перегружал.... Результат - первый DI-804HV подключается, второй ни в какую.

Служба поддержки, может посоветуете что?

может и посоветуем
Выложите _ВСЕ_ настройки туннелей устройств.

Адреса подсетей за 804-ми тоже одинаковые ?

DI-804HV 1:

Method: IKE
Local subnet: 10.0.1.0
Local Netmask: 255.255.255.0
Remote subnet: 10.0.0.0
Remote netmask: 255.255.255.0
Preshare key: Key1
Remote ID: ip-address, 195.218.xx.xx
Local ID: ip-address, 195.131.xx.xx

IKE proposal: group2, 3des, md5, 28800, sec
IPSec proposal: group2, esp, 3des, md5, 3600, sec

DI-804HV 2:

Method: IKE
Local subnet: 10.0.2.0
Local Netmask: 255.255.255.0
Remote subnet: 10.0.0.0
Remote netmask: 255.255.255.0
Preshare key: Key2
Remote ID: ip-address, 195.218.xx.xx
Local ID: ip-address, 84.204.xx.xx

IKE proposal: group2, 3des, md5, 28800, sec
IPSec proposal: group2, esp, 3des, md5, 3600, sec

---

DFL-800:

Objects/VPN objects/Pre-shared keys:
Key1
Key2

Address book:
Localnet: 10.0.0.0/24
WanIP: 195.218.xx.xx
IPVpn1: 195.131.xx.xx
IPVpn2: 84.204.xx.xx
VPNPool1: 10.0.1.0/24
VPNPool2: 10.0.2.0/24

Interfaces/IPSec tunnels:
Tunnel1:
Local network: localnet
Remote Network: VPNPool1
Remote endpoint: IPVpn1
Encapsulation mode: Tunnel
IKE Algorithms: High, 28800
IPSec Algorithms: High, 3600
IpSec Life time: 0
Authentification: Pre-shared key - Key1
IKE Settings: Main, DH group 2

Tunnel2:
Local network: localnet
Remote Network: VPNPool2
Remote endpoint: IPVpn2
Encapsulation mode: Tunnel
IKE Algorithms: High, 28800
IPSec Algorithms: High, 3600
IpSec Life time: 0
Authentification: Pre-shared key - Key2
IKE Settings: Main, DH group 2

---

Туннель 2 поднимается, туннель 1 - нет.
На 1 DI-804HV в логе:
Monday September 18, 2006 12:52:32 Send IKE M1(INIT) : 195.131.xx.xx --> 195.218.xx.xx
Monday September 18, 2006 12:52:37 IKED re-TX : INIT to 195.218.xx.xx
Monday September 18, 2006 12:52:42 IKED re-TX : INIT to 195.218.xx.xx
Monday September 18, 2006 12:52:52 IKED re-TX : INIT to 195.218.xx.xx
Monday September 18, 2006 12:53:02 IKED re-TX : INIT to 195.218.xx.xx
Monday September 18, 2006 12:53:22 IKED re-TX : INIT to 195.218.xx.xx
Monday September 18, 2006 12:53:23 Send IKE (INFO) : delete 195.131.xx.xx -> 195.218.xx.xx phase 1
Monday September 18, 2006 12:53:23 IKE phase1 (ISAKMP SA) remove : 195.131.xx.xx <-> 195.218.xx.xx

На DFL-800 появляется IKE SA для 195.131.xx.xx
Потом через какое-то время выдается в лог:
Bad logmsg: [2006-09-18 12:55:09] <6>FW: IPSEC: prio=1 Phase-1 [responder] between ipv4(any:0,[0..3]=195.218.xx.xx) and ipv4(any:0,[0..3]=195.131.xx.xx) failed; Timeout.

Провайдер утверждает, что никакие порты не закрыты.

За 804-ми разные подсети.
10.0.1.0/255.255.255.0
и
10.0.2.0/255.255.255.0

А ping до удаленной _неподнимающейся_ подсети есть?
Для чего Вы используете Remote и Local ID? Они используются в основном с Agresive mode.
Очень похоже, что между ними нет связи, т.к. появляются time-out, если бы связь не устанавливалась, то были бы другие сообщения в логах.

Пинга до удаленной "неподнимающейся" сети нет, т.к. она не поднимается Есть пинг только до внешнего айпишника удаленного роутера. На нем же поднял pptp сервер - замечательно в него попадаю снаружи. А вот ipsec канал так и не устанавливается.
Remote ID и Local ID прописал после того, как в логах DFL-800 появилось соощение типа "remote id incorrect".

Если проблема не решена, то пришлите конфиги всех устройств ко мне на емайл. С паролями и адресами для доступа(lan_ip)

Проблема не решена, но удалось уже поднять 5 каналов от 804hv до dfl-800. А вот этот, злополучный, не поднимается.
Пробовал поднять с другой точки из той-же подсети того-же провайдера с той же железкой - поднялось. Т.е. судя по всему проблема в adsl модеме, который стоит на оконечной точке, где не поднимается канал у 804hv.
Буду пробовать менять модем, если не поможет - буду слать письма

Тогда стоит всё-таки изучить путь от двух эти точек. Посмотреть есть ли там где-нить на пути НАТ. Разрешено ли вообще использование IKE.
Сразу оговорюсь, что если провайдер СТрим, то IPSEC там недозволен.

изучили провайдера.
поменяли провайдерский модем.
заработало.
спасибо.