обновление: проблема с ISAKMP.
Вот схема:
http://irk.pp.ru/doc/dlink.gif
Роутер 1 должен быть соединён с роутером 2 IPSec'ом. На роутере 1 используется PPTP и указан статический маршрут до роутера 2 через его шлюз (10.3.33.161).
На роутере 2 указан Remote Gateway = 10.3.3.163.
Проверка ping-ом с обоих роутеров показывает доступность удалённого роутера.
Вот лог роутера 1.
Tuesday November 29, 2005 18:32:50 Restarted by 195.201.50.193
Tuesday November 29, 2005 18:32:52 DOD:TCP trigger from 195.201.40.2:1723 to 10.3.33.163:65535
Tuesday November 29, 2005 18:32:52 PPTP start to dial-up
Tuesday November 29, 2005 18:32:56 DOD:triggered internally
Tuesday November 29, 2005 18:32:56 PPTP start to dial-up
Tuesday November 29, 2005 18:32:56 PPTP server=195.201.40.2
Tuesday November 29, 2005 18:32:57 CHAP1: OK
Tuesday November 29, 2005 18:32:57 IPCP1: DNS0 is 195.201.40.175
Tuesday November 29, 2005 18:32:57 IPCP1: DNS1 is 195.201.40.177
Tuesday November 29, 2005 18:32:57 IPCP1: DNS1 is 195.201.40.177
Tuesday November 29, 2005 18:33:10 Send IKE M1(INIT) : 10.3.33.163 --> 10.2.8.203
Tuesday November 29, 2005 18:33:15 IKED re-TX : INIT to 10.2.8.203
Tuesday November 29, 2005 18:33:20 IKED re-TX : INIT to 10.2.8.203
Tuesday November 29, 2005 18:33:30 IKED re-TX : INIT to 10.2.8.203
Tuesday November 29, 2005 18:33:40 IKED re-TX : INIT to 10.2.8.203
Tuesday November 29, 2005 18:34:00 IKED re-TX : INIT to 10.2.8.203
Tuesday November 29, 2005 18:34:01 Send IKE (INFO) : delete 10.3.33.163 -> 10.2.8.203 phase 1
Tuesday November 29, 2005 18:34:01 IKE phase1 (ISAKMP SA) remove : 10.3.33.163 <-> 10.2.8.203
Если на роутере 1 убрать статический маршрут до 10.2.8.203, а на роутере 2 в качестве Remote Gateway указать реальный адрес роутера 1, всё будет работать.