Все правильно написано, на траффик не действуют правила до рашифровки.

Проблема с туннелем действительно была связана с длиной PSK.
Еще один вопрос: как на DFL-210 сделать "Enable NetBIOS Broadcast"? Не для постоянного включения, конечно, но иногда необходимость временного прохождения NetBIOS broadcasts через VPN-туннель возникает.

Данная функция может работать только между двумя DI-8ХХ.

А можно поподробнее?

Максимально допустимая длина PSK между разнотипными D-Link-ами - 18 символов.
Там еще одна хитрость была - на DFL-210 надо обязательно включать "PFS enabled".
Еще ответьте, пожалуйста:
1. Как правильно написать IP rule, разрешающее tracert? Сейчас у меня ping с рабочей станции на lan_ip отвечает, а tracert туда же - фиг.
2. Как включить проброс обращений из локальной сети к DNS по адресу lan_ip на wan_dns1 и wan_dns2?
3. Как из веб-интерфейса DFL-210 сделать Drop/Reconnect VPN-туннеля? Необходимости пока не возникало, но на всякий случай?

А куда делась прилепленная тема по сбору статистики с DFL-210? Пришлите, пожалуйста, информацию, у кого сохранилась.

1. Тема не раз обсуждалась воспользуйтесь поиском.
2. См faq http://ftp.dlink.ru/pub/FireWall/How%20 ... 0Relay.doc
3. Status -> IPSec -> List all active IKE SAs

Нашел по ключевым словам DFL-210 tracert - заработало.Спасибо. Сам бы не догадался, что надо одновременно SNAT и NAT настраивать.

Еще один маленький вопрос: я правильно понимаю, что MAC Filters в DFL-210 не поддерживаются?

Ну, первая фраза явно заслуживает внесения в faq.
В связке версий 2.20(dfl210) и 1.50(di804) туннель работает без сбоев и при отключенном PFS - проверено.