Проблемка примерно такая: есть две локалки с выходом в инет со статическим ip. Нужно организовать IPSec VPN тунель между конкретными хостами в этой локалке т.е. сделать host to host а не LAN to LAN IPSec VPN.
Можно ли так сделать.
На одной стороне DFL-700 на другой маршрутизатор Cisco .

Можно, а в настройках туннеля используете хостовые маски.

Спасибо получилось.

Еще одна проблема: на другой стороне ограничен трафик проходящий через IPSec VPN, а именно разрешен только ftp трафик на порты 8009-8021. А со стороны DFL-700 я поставил разрешить весь VPN трафик. В этом случае VPN не поднимается:
[2006-06-07 16:51:13] <6>EFW: CONN: prio=1 rule=Unnamed_1 conn=open connipproto=TCP connrecvif=DMZ connsrcip=192.168.10.170 connsrcport=1475 conndestif=Processing conndestip=192.168.114.137 conndestport=8021
2006-06-07 16:51:13] <4>EFW: IPSEC: prio=3 Authenticated notify "No proposal chosen" from 195.28.34.184:4500 for protocol ESP spi[0..4]=b4 74 95 f1

Если с той стороны все разрешить - все отлично работает.
Можно ли ограничить трафик с моей стороны.
Пробовал прописывать правило DMZ - IPSEC (у меня на DMZ машинка сидит) разрешающее только трафик по этим портам - не работает - ошибка та же.
Не подскажете в чем может быть затык.

Со стороны dfl-700 никак не получится ограничить, т.к. в системе нельзя задавать в политиках "ipsec интерфейс".