Нужно организовать канал VPN между DFL-700 и DI-804HV.
10.10.4.0/24 - (10.10.4.1) DFL700 - Inet - DI-804HV (10.10.10.1)- 10.10.10.0/24
Канал поднимается и с DFL-700 пингуются обе стороны: 10.10.10.1 и сеть 10.10.4.*. Из сети 10.10.4.* адрес 10.10.10.1 не пингуется и вся сеть 10.10.10.* тоже. Со стороны DI-804HV канал есть, но сеть 10.10.4.* не пингуется. То есть DFL не пропускает пакеты между сетями.

Конфигурация:
1. DI-804HV (Firmware Version: V1.40b04)
Tunnel Name Vpn
Aggressive Mode No
Local Subnet 10.10.10.0
Local Netmask 255.255.255.0
Remote Subnet 10.10.4.0
Remote Netmask 255.255.255.0
Remote Gateway x.x.x.x
IKE proposal - DH group2, 3des, md5, 86400 sec
IPSEC proposal - DH group2, ESP, 3des, md5, 28800 sec
2. DFL-700 ( Firmware version: 1.33.00)
Administrative access via LAN interface Ping:Any address
Administrative access via Vpn tunnel Ping:Any address
Name: Vpn
Local Net: 10.10.4.0/24
LAN-to-LAN tunnel
Route: yes Automatically add a route for the remote network.

DFL-700 - опишите более подробно параметры настройки: Время жизни фаз, параметры защиты, Remote Subnet и т.д. У компьютеров в локальных сетях default gateway прописан LAN IP адрес DI-804HV или DFL-700 ?

Время жизни:
IKE: 86400 sec
IPSec: 28800 sec
Список IKE Proposal и IPSec proposal - дефолтовый. Поэтому не привожу.
Default gateway прописан у каждой сети на маршрутизатор.

Дополнение. Сейчас канал работает как нужно, обмен между сетями проходит без проблем. Все таки дело было в маршрутизации на моем сервере.
Сейчас осталась одна проблема: с DI-804HV не пингуется ни один адрес сети 10.10.4.*, в том числе 10.10.4.1. Из-за этого пришлось отключить Keepalive С остальных компьютеров сети 10.10.10.* - все нормально пингуется.
Administrative access через Vpn tunnel Ping включен, как я и писал. Что это может быть?

С пингом разобрался, как оказалось DI-804HV при пинге с web-интерфейса подставляет как source-адрес свой WAN.

Теперь разбираемся дальше. Как мне подсказали, выставил список proposal в точности как на Di-804HV. Все остальное выставил в "-".
Проблема следующая: раз в час/в два часа канал обрывается и начинает переинициироваться. Но не поднимается. Для чистоты эксперимента отключил keepalive со стороны DFL-700. То есть keepalive не включен с обоих сторон. Ситуация таже самая.

Со стороны DI-804HV VPN status такой:
New VPN 10.10.4.0/255.255.255.0/x.x.x.x 10.10.10.0/
255.255.255.0 ESP tunnel Establishing 27049

Со стороны DFL VPN status такой:
IPsec SAs for VPN tunnel VPN: (list IKE SAs)
Gateway Local Net Remote Net
y.y.y.y 10.10.4.0/24 10.10.10.0/24 [Close]

Смотрим логи DI-804HV:
Wednesday September 21, 2005 20:36:50 Receive IKE Q1(QINIT) : [x.x.x.x]-->[y.y.y.y]
Wednesday September 21, 2005 20:36:50 Requested routing is [10.10.4.0|x.x.x.x]<->[y.y.y.y|10.10.10.0]
Wednesday September 21, 2005 20:36:50 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):NONE
Wednesday September 21, 2005 20:36:51 Send IKE Q1(QINIT) : 10.10.10.0 --> 10.10.4.0
Wednesday September 21, 2005 20:36:57 IKED re-TX : QINIT to x.x.x.x
Wednesday September 21, 2005 20:37:02 IKED re-TX : QINIT to x.x.x.x
Wednesday September 21, 2005 20:37:12 IKED re-TX : QINIT to x.x.x.x
Wednesday September 21, 2005 20:37:20 Receive IKE Q1(QINIT) : [x.x.x.x]-->[y.y.y.y]
Wednesday September 21, 2005 20:37:20 Requested routing is [10.10.4.0|x.x.x.x]<->[y.y.y.y|10.10.10.0]
Wednesday September 21, 2005 20:37:20 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):NONE
Wednesday September 21, 2005 20:37:22 IKED re-TX : QINIT to x.x.x.x
Wednesday September 21, 2005 20:37:32 Send IKE Q1(QINIT) : 10.10.10.0 --> 10.10.4.0
Wednesday September 21, 2005 20:37:37 IKED re-TX : QINIT to x.x.x.x
Wednesday September 21, 2005 20:37:42 IKED re-TX : QINIT to x.x.x.x
Wednesday September 21, 2005 20:37:42 IKED re-TX : QINIT to x.x.x.x
Wednesday September 21, 2005 20:37:43 Send IKE (INFO) : delete [10.10.10.0|y.y.y.y]-->[x.x.x.x|10.10.4.0] phase 2
Wednesday September 21, 2005 20:37:43 IKE phase2 (IPSec SA) remove : 10.10.10.0 <-> 10.10.4.0
Wednesday September 21, 2005 20:37:43 inbound SPI = 0xea010010, outbound SPI = 0x0
И так далее.

По логам DFL-700 отловить момент пропадания не удалось. При нажатии drop, а потом reconnect на DI-804HV канал поднимается.
На сегодня все. Посмотрю статистику за ночь и завтра напишу. Паралельно работают каналы на racoon, так что сравнить есть с чем.

Попробуйте включить PFS -- были случаи когда это помогало.

_________________
С уважением -- Александр Шебаронин.