Настроил канал по http://www.d-link.ru/ru/faq/92/520.html.
В итоге на DI-804HV вижу статус "конект", но из одной сети не идут пинги в другую.

на DFL-210

dmz_ip 172.17.100.254 IPAddress of interface dmz
dmznet 172.17.100.0/24 The network on interface dmz
lan_ip 192.168.0.151 IPAddress of interface lan
lannet 192.168.0.0/24 The network on interface lan
wan_dns1 0.0.0.0 Primary DNS server for interface wan
wan_dns2 0.0.0.0 Secondary DNS server for interface wan
wan_gw 192.168.110.100 Default gateway for interface wan
wan_ip 192.168.110.10 IPAddress of interface wan
wannet 255.255.255.0/24 The network on interface wan

Заводские настройки:(
1 drop_smb-all Drop lan lannet wan all-nets smb-all
2 allow_ping-outbound NAT lan lannet wan all-nets ping-outbound
3 allow_ftp-passthrough_av NAT lan lannet wan all-nets ftp-passthrough-av
4 allow_standard NAT lan lannet wan all-nets all_tcpudp )
Настройки из описания по ссылке:(
1 IPSec_to_lan Allow tunnel1 IPSec_remote_net lan lannet all_services
2 lan_to_IPSec Allow lan lannet tunnel1 IPSec_remote_net all_services )

IPSec_remote_endpoint 192.168.110.100
IPSec_remote_net 192.168.1.0/24

На DI-804HV
WAN 192,168,110,100
MASK 255.255.255.0
Gateway 192.168.110.10

VPN
Tunnel Name : tunnel1
local Subnet: 192.168.1.0
local mask: 255.255.255.0
remote subnet:192.168.0.0
remote mask: 255.255.255.0
remote gateway:192.168.110.10

Гейтвеями друг друга прописывать не надо на WAN'ах

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ладно в DFL шлюз 0,0,0,0
В DI шлюз 192,168,0,1 -пустой не возможен.
это не помогает, может правила:
Настройки из описания по ссылке
1 IPSec_to_lan Allow tunnel1 IPSec_remote_net lan lannet all_services
2 lan_to_IPSec Allow lan lannet tunnel1 IPSec_remote_net all_services )
не работает.
я пытался добавлять правила для пинга из LAN на WAN и наоборот,
иногда получалось что-то пингануть, по крайне мере был виден WAN на другом конце. Что не так?

Я подключил DI-804 и DFL-210 напрямую портами WAN

Я переписал правило:
1. IPSec_to_lan, Allow, tunnel1, IPSec_remote_net, lan, lannet, all_services
на
1. IPSec_to_lan, Allow, tunnel1, IPSec_remote_net, core, lannet, all_services

со стороны DI-804 пошел пинг на LAN DFL-210, но сеть за LAN DFL-210 по прежнему не пингуется.

А как увидеть статус канала IPSec в DFL-210?

в вебе - status -> ipsec.

Вижу в списке активных соединений (List all active IKE SAs. IPsec Interface: tunnel1 ) свой канал.
Так почему же люди добрые если оба маршрютизатора показывают конект, за ними как буд-то все вымерло, даже LANы не пингуются с другого конца, если все сделать по http://www.d-link.ru/ru/faq/92/520.html.?

Status > Connections

State Proto Source Destination Timeout
RAWIP ESP wan:192.168.110.100:0 core:192.168.110.10:0 128
FIN_RCVD TCP lan:192.168.0.3:3505 core:192.168.0.151:443 69
FIN_RCVD TCP lan:192.168.0.3:3515 core:192.168.0.151:443 69
FIN_RCVD TCP lan:192.168.0.3:3516 core:192.168.0.151:443 69
FIN_RCVD TCP lan:192.168.0.3:3520 core:192.168.0.151:443 69
FIN_RCVD TCP lan:192.168.0.3:3521 core:192.168.0.151:443 69
FIN_RCVD TCP lan:192.168.0.3:3522 core:192.168.0.151:443 69
FIN_RCVD TCP lan:192.168.0.3:3523 core:192.168.0.151:443 69

Что интересно с самого DFL-210 (С помощью TOOLS->PING) я могу пинговать LAN DI-804 и компьютер за ним с IP192,168,1,3. А вот из компьютера за LAN DFL-210 c IP 192.168.0.3 пинг не идет.
Что это значит?

DFL является шлюзом для LAN ?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да спасибо в этом была причина (я знал что истина где-то рядом ) и еще возможно в том что на DI-804 не было выставлено системное время, для канала IPSec с двумя DI-804, системное время точно имеет значение, знаю из опыта.

И как оно влияет ???

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

Не устанавливалось соединения IPSec, после того как обнаружилось что на одном конце ( в другом городе) разница в системном времени в DI-804 в один год или даже более, сравняли время и все заработало.
Ну и что? Я сам был удивлен.

Время в IPsec относительное, поэтому должно работать если все lifetime выставлены одинаково. Хотя, ньюансы реализаций конечно могут быть разые...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc