Нет
При использовании IPSec BEFORE rules, устройство не смотрит на FW вообще и когда встречает UDP500/IPProt50-51 то пропускат их к core, тобишь к себе

Сделано все заново строго по инструкции. При поптыке использовать туннель из-за 210го
В логах записи:
no_ike_sa
ike_sa_failed
peer_is_dead
ike_sa_destroed

и отрубается туннель.
Помнится дополнительными правилами удавалось добиться того, что туннель устанавливался, но пакеты в него все равно не шли.

если в москве привозите, продемонстрируем работу. Или высылайте конфиги на email: svasiliev@dlink.ru

Я в ростове...

Подскажите, почему может получиться что пинги на 192.168.100.1 или .2 выдает "no route to host"? Все перепроверено, ошибок нет.

Как проверить работает ли wan-порт? может девайс неисправен...

Если пишет no route to host, то это говорит о том, что либо нет маршрута к сети. Если это IP из wan-net, то значит wan-net назначен неправильно или отсуствет в таблице маршрутизации
wanIP -- 192.168.110.1
wannet -- 192.168.110.0/24

После дополнительной консультации тунель таки поднялся. Вроде без ошибок, но в мануале не было пары пунктов. Не важно.

Теперь добавляю в винду route add 10.10.5.0/24 192.168.1.1
но пробиться не могу. в логах аппаратов ничего подозрительного нет.
что тут не так?

подсказывают, что может быть маршрут не правильно прописался.
где и что должно появиться? как проверить?

Всё просто. Вот шаги которые нужно сделать(приводу на одном устройстве) предварительно сбросив оба в дефолт:
1. Редактируем WAN-IP, LAN_IP, LAN-NET
2. Создаём объекты
remote_net
remote_endpoint
3. Создаём ключ(PSK)
4. Создаём туннель, прописываем:
remote-network
local-network
remote endpont
Выбираем PSK
5. Создаём правило(для проверки чтобы пинговался LAN_IP)
allow IPSec Tunnel/Remotenet core/lanip
всё.

да понятно, что все. А пинг между сетями отбрасывается по дефолтовому правилу.

И подскажите, пожалуйста, что надо прописать на компах в локальной сети, чтоб они использовали туннель?

нужно либо прописать на них маршрут либо указать устройства шлюзами по-умолчанию.

Понятно. А что все же делать с этим:



Где 192.168.1.1 - локальный адрес 210го
10.10.5.241 - локальный адрес 800го
Пингую 800й с 210го. Лог на 800м.

нужно разрешить
ipsec -> core\lan_ip

Вот. Чего от Вас я и добиваюсь с первого вопроса. Теперь все работает, спасибо за помощь. Этого не было в мануале.

Остался только один вопрос, как дать выход в интернет через другую локальную сеть...

IPsec не предназначен для предоствления доступа через него к интернет. используте для этого PPTP

такие ошибки в логе что значат
ipsec_sa_failed
no_ipsec_sa