Удаленные офисы у нас подключены провайдером при помощи VLAN. Т.е. из его раутера идет UTP которая втыкается в нашу сеть. Преймущество перед VPN заключается в том, что в отличии от интернета, это соединение провайдер не шейпит, скорость 100 мбит/с. Недостаток в том, что через провайдера течет нешифрованный траф. Захотелось избавиться от этого недостатка. Поправьте, пожалуйста, где я ошибаюсь. Т.к. не работает пока.

1. На клиентах пока для упрощения задачи ставим статические IP.
2. Втыкаем UTP с VLAN в порт DMZ.
3. Создаем интерфейс IPSec со след параметрами:
Local Network - lannet (т.е. подсеть головного офиса)
Remote Network - dmznet (т.е. подсеть компов в удаленных офисах)
Remote Endpoint - none
Encapsulation mode - tunnel
Задаем PSK и ставим галочку в Dynamically add route to the remote network when a tunnel is established (Automatically add route for remote network в закладке Advanced стоит по умолчанию)
4. Создаем правило
Allow all_services ipsec_tunnel dmznet lan lannet
И такое же в обратную сторону.

Где я ошибся? Если нигде, то буду искать косяк в настройках винды на клиентском компе.

Вам надо организовать 3 подсети - две офисные и ту, что будет в VLAN - все разные. Соответственно, IPsec будет между двумя "публичными" IP
В остальном правильно мыслите
Если совсем не работает, показывайте скриншоты

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Не совсем понял про 3 сети. Одна сеть - сеть головного офиса. Вторая сеть - сеть в подразделении, которая воткнута в DMZ. А третью сеть где и как создавать?

И еще вопрос, хоть тут и форум по D-Link: как надо настраивать винду? Там нашел 2 настройки по IPsec. Одну в брендмауере, вторую в локальных/групповых политиках. Пробовал и ту и другую, и обе вместе, никак не работает.

Не надо никаких VPN с клиентов
Разделите сеть между DFL (dmznet) и ту, что во втором филиале - пусть будет три
Дальше стройте по FAQ

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Правильно. VPN клиентов не надо. Но на той стороне машина то должна шифровать трафик через IPSec, соответственно и надо какие то настройки сделать. Или она сама догадается, что траф шифровать надо?

Так у Вас в удаленном офисе маршрутизатор или просто один компьютер? VPN типа "сеть -- сеть", т. е. между маршрутизаторами и "удаленный компьютер -- сеть" несколько разные вещи. Последнее в Винде организовано по типу диалап-подключения, т. е. создаете новое подключение и на очередной вопрос отвечаете что-то вроде "использовань мое Интернет-соединение" вместо "использовать телефон и модем". И Винда в версии XP/2003 поддерживает только два варианта PPTP и L2TP/IPSec. Чистый IPSec без L2TP не поддерживается. Так что для DFL смотрите факи по темам "Настройка сервера PPTP" и "Настройка сервера L2TP" и делайте по ним.
PS. Чистый IPSec на Винде сделать все же можно, но это будет транспортный, а не туннельный режим. Вроде у Вас это проходит, т. к. не Интернет, но я бы не стал без особой нужды влазить в такую экзотику. VPN клиент-сервер стандартное решение и будет работать и в случае, если вы откажетесь от провайдерских VLAN-ов.

С VPN все абсолютно понятно. Уже пробовал и все работает. У нас в одном удаленном офисе несколько компов и там планируется поставить маршрутизатор, а в другом офисе всего лишь один комп с Win7, конечно, можно и там поставить маршрутизатор, но как то это неспортивно. IPSec без L2TP интересен как раз по причине, что в этом случае не надо на клиентском компе устанавливать соединение руками. Т.е. включил комп, и все работает. Тем более, как вы правильно заметили, т.к. там не прямое интернет соединение, а VLAN, то наличие VPN соединения не является обязательным требованием.

Кстати, не совсем уловил: в каком же случае тогда используется туннельный режим? Если при настройке L2TP over IPSec надо ставить транспортный и в этом случае тоже транспортный.

Если нужно соединить сеть с "серыми" адресами с другой сетью с "серыми" адресами через Интернет и не хочется поднимать еще один протокол для обеспечения туннеля (L2TP, GRE), без туннельного режима не обойтись.
Соединение в Windows можно настроить на авломатическое установление/восстановление.
А насчет транспортного режима точно не помню, но сдается мне, что понадобится делать политики IPSec для всех компов, а DFL в этой ситуации будет только пропускать через себя.

Так у нас соединение не через интернет идет. Его обеспечивает провайдер. Т.е. в удаленном офисе втыкаем комп в сеть и он ее сразу видит.

А как, простите, сделать автоматическое установление туннеля?

А google или yandex религия не позволяет использовать? Это чисто Виндовый вопрос и ищется на раз-два.
Лень расписывать здесь.

У вас "на другой стороне" есть еще один DFL или нет???

Если нет, то делайте VPN сервер и от подключений через явный VPN вам не уйти
Но в этом случае я вам советую поставить и туда DFL

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc