Имется две сети 10.0.0.0 /255.0.0.0 и 192.168.0.0 /255.255.255.0
при настройке VPN на столе (2 истиных IP) (WAN обоих DFL подключены к одному свичу ) всё работает VPN устанавливается.
При перезде 1-го DFL на другую территорию WAN IP по DHCP, на оставшемся в офисе DFL меняю тип peer на динамический указываю сеть. В результате VPN пинг проходит только до удалённого DFL (local IP) другие IP в этой (удалённой) сети не пингуются. Из удалённой сети не пингуется даже DFL. WAN IP пингуются. При установке peer Remoute Gateway Static IP картина аналогичная.
В удалённый офис подключё к модему работающему по сети кабельного телевиденья. Кабельный провайдер выдаёт реальный динамический IP.
В основном офис Инет заходит через xDSL модем. Имеем несколко реальных IP выданых провайдером. 1 IP используется для Инета (в качестве шлюза PC c Linux) 2-Й IP прописан на WAN DFL. На FireWall маршрут на 192.168.0.0 прописан через локальный DFL адрес.

Вам нужно прописать с двух сторон одинаковый Negotiation ID. Притом он не должен быть равен внешнему IP -- чтобы соединение производилось в режиме Agressive.

_________________
С уважением -- Александр Шебаронин.

Negotation ID у меня текст "sirius" , одинаковый на обоих routers.

Поставил на обоих VPN negotation ID = 12345
пинги перестали ходить вообще.
Тунель устанавливался в режиме Negotation и тут же падал.

Настройки примерно таковыми должны быть:
1. negotiation ID -- одинаков, не внешний адрес устройства.
2. На "серверной" стороне (со статическим адресом) -- туннель настроен как Remote gateway (dynamic IP).
3. на стороне "клиента" (с динамическим адресом) -- Remote gateway (static IP).
4. Все остальные настройки полностью идентичны, за исключением удаленных сетей.
Соединение может быть инициировано только "клиентской" стороной.

_________________
С уважением -- Александр Шебаронин.

Из-за чего не проходят пинги при поднятом тунеле?
Влияет ли правила фильтрации пакетов на прохождение данных через тунель. Влияют ли настройки фаервола?