И кстати, вот сейчас только обратил внимание: на WAN портах роутеров стоит маска 255.255.255.0

Вы уверены, что в локалке она не 255.255.0.0 ? Ибо в противном случае, получается, что у Вас вместо одной локалки 192.168.0.0 две разных 192.168.19.0 и 192.168.25.0

Есть. Маки железок изменены.




В то время не шёл.



Я уже тоже ВПН настроил. Если удастся и остальные вышеописанные задачи реализовать - отрисую и опишу всё подробно и упомяну всех, кто помог...

Хм... об этом моменте я не подумал.
Просто как ранее для себя одного писал 255.255.255.0 так и забил здесь...
Странно так же и то, что сейчас я впн поднял, но на старых масках...

2 Alexander Shebaronin
проброс порта не требуется если VPN устанавливается только со стороны винды. Иначе куда будет транзитный маршрутизатор девать пакеты IKE?



Вот у меня сейчас впн работает через транзитный маршрутизатор с nat, порт 500 не проброшен и я не знаю куда он девает пакеты IKE.
Но впрочем догадываюсь.
Так как через этот маршрутизатор прошли мои первоначальные пакеты то обратные идут через эту же открытую сессию nat. Нат помнит источник пакетов и отправляет ответы на них по адресу с которого они пришли.

А если бы я и пробросил порт 500 то на винде или на di804hv нет открытого порта 500. Не подскажете- чего пробрасывать?
До сегодняшнего варианта стоял di804hv и тоже работал через транзитный маршрутизатор. Точно также ничего не пробрасывалось.

Ok.
Рассмотрим схемку:
(192.168.1.1)DI-804HV(192.168.10.1) -- (192.168.10.2)NAT device(192.168.2.2) -- (192.168.2.1)DI-804HV(192.168.0.1).
Нужно установить VPN между сетями 192.168.1.0/24 и 192.168.0.0/24. NAT device работает в режиме Many-to-one NAT, то есть выпускает сеть 192.168.2.0/24 в интернет с внешнего адреса 192.168.10.2.
В конфигурации левого 804 указываем удаленный гейт как 192.168.10.2 -- внешний адрес НАТящего девайса. При попытке установления туннеля с левой стороны приходит пакет по 500 UDP порту на адрес 192.168.10.2 (ISAKMP), то есть на адрес NAT device, а он понятия не имеет как и с кем устанавливать туннель! Про туннель у нас знает девайс с адресом 192.168.2.1 -- правый гейт. Так что без проброса порта 500 по UDP туннель никак не может быть установлен слева направо. А вот справа налево -- может.

_________________
С уважением -- Александр Шебаронин.

Вот именно- справа налево может. Поэтому если справа находится не роутер а винда (некий клиент) то он и поднимает туннель, а слева это делать никому не приходится.
К тому же маршрутизатор может оказаться не один и к ним нет доступа.
Но однако вы полагаете что пробросив 500 порт можно получить поднятие туннеля слева направо? Это легко проверить- счас и попробую.

Не смог проверить это, теперь позже.