Возьми оба устройства, сбрось по дефолту. Настрой заново, time life задай стандартные 28800/3600 на обоих длинках. Проверь их работу на столе (только wanы укажи из одной подсети), а потом уже ставь на место. Сэкономишь кучу времени.

Всё снёс и переделал заново. заработало. единственное стоит чекбокс agresive. туннель переподключается.
Спасибо большёе за подсказку с дефолтом. загадочное ПО. настройки правильные а где-то глюки бродят.

Собрал схему с вашими настройками на стенде, подобная ситуация не наблюдается. Попробуйте сбросить в заводские настройки и перенастроить, если не поможет, возможно у вас аппаратные проблемы с одним из роутеров.

Уф... всё. опять не работает. на этот раз вообще нет туннеля. Пишет Type пусто, State - Establishing, всё. Есть правда нюанс на который я и всё списываю - с одной стороны WAN - PPPoE, тут думаю всё ок., а вот с другой стороны провайдер подключает через VPN -Russian PPTP DualAccess(For Russia use only), WAN Physical Setting Routing Table так же есть. Тоесть получается туннель в туннеле. Думаю присутствует фрагментация пакетов. Провайдер пожимает плечами - у нас всё открыто ничего не знаем. А то что роутер приходится администрировать указав, Remote Management - 0.0.0.0 по одному доверенному IP подключиться невозможно. тоесть подмена IP? Проблема аппаратная.. но как определить где... логи может показать? что ж за шайтан прямо таки...
Пинги с коробочки на коробчку проходят по чесному IP.
Поставил DH Group Group2 - подкючилось. не знаю правда на сколько.
Отпало. настроил по парамнетрам из этого мануала - http://www.dlink.ru/technical/faq_vpn_8.php.
Стало работатьт дольше.

Начал играть настройками. может угадаю. попробую опять сбросить на заводские настройки одно из устройств. Можно ли потом не настраивать а поднять настройки из файла бэкапа?

Эту мелкую деталь для сохранения интриги ты выдал только сейчас
В такой конфигурации я их не пробовал, дергай техподдержку.

да придётся дёргать. тут уже пошло - туннель по наблюдению есть а фактически нема. предположение коробочки не держат настройки. попробую поочереди снести до заводских настроек. и настроить заново. а потом коечно уже в техподдержку. но всё же подозреваю фрагментацию пакетов из-за тунеля....

Боритесь с помощью уменьшения MTU, чуть чуть на роутере, затем примерно до 1400 на компьютерах.

ага! не подскажете по какой формуле уменьшать MTU? там зависимость есть. на роутере это в IKE, IPSEC - Life Time? у меня 86400, 28800 соответственно. кстати у меня одно время работало с параметрами -
28800, 3800.
Сейчас новая напасть - пишет туннель есть, но пинги не проходят. рестарт маршрутизаторов ничего не даёт..... где-то тонет всё.

Кажется поймал. VPN чесно пытается переподключиться и пишет такой лог
Tuesday June 24, 2008 00:33:18 inbound SPI = 0x2100b201, outbound SPI = 0x0
Tuesday June 24, 2008 00:33:18 Send IKE Q1(QINIT) : 192.168.1.0 --> 192.168.2.0
-----------------------------------
Tuesday June 24, 2008 00:25:08 IKED re-TX : QINIT to 62.80.x.x
Tuesday June 24, 2008 00:25:18 Disassociated: Blocked access attempt from 193.178.34.39:500 to UDP port 228
Tuesday June 24, 2008 00:25:18 IKED re-TX : QINIT to 62.80.x.x
Tuesday June 24, 2008 00:25:38 Disassociated: Blocked access attempt from 193.178.34.39:500 to UDP port 228
Tuesday June 24, 2008 00:25:38 IKED re-TX : QINIT to 62.80.x.x
Tuesday June 24, 2008 00:25:39 Disassociated: Blocked access attempt from 193.178.34.39:500 to UDP port 228
Tuesday June 24, 2008 00:25:39 Disassociated: Blocked access attempt from 193.178.34.39:500 to UDP port 228

193.178.34.39 - это IP провайдера с одной стороны
62.80.x.x - это уже чесный IP коробочки.

щас отправлю это провайдерам.