Доброго времени суток.
Неработает схема VPN между 2 DFL100. 1-й имеет WAN Static IP второй Dynamic IP назначаемый кабельным модемом.
Сеть 1
WAN 80. 190.234.*
10.1.20.0 255.255.255.0

Сеть 2
WAN 85.202.117.*
192.168.3.0 255.255.255.0

На первом DFL100
в качестве Negotation ID указан его WAN IP
На втором DFL100 - название тунеля.
Остальные параметры IPSEC идентичны за исключением IP адресов и и PeerType (Static и Dynamic соответственно)

При пингах из сетки 1 локального адреса DFL-100 2-го устанавливается VPN (Phase 2 Est). При этом пинг проходит только до DFL-100 2, а другие хосты не пингуются. Со второй сети непингуеться даже DFL 100 1-й сети

Верси прошивки на обоих DFL :
Hardware Version: A1
Firmware Version: 2.32b1

Помогите разобраться в чём трабл.

на обоих устройствах в качестве NeogID должны стоять их WAN адреса. Это идентификатор соединения.
На машинах удаленной подсети есть обратный маршрут?

Dfl-100 прописан в качестве шлюза по умолчанию на всех хостах к-е за ним.
Прописыватьна 2-м DFL-100 в Negotation ID WAN адрес не очень удобно поскльку он выдаётся динамически, но я попробую.

Если динамика, то резоннее использовать Aggressive mode

Попробовал прописать в Negotation ID на втором DFL IP выданный ему по DHCP. В результате тунель перестал подниматься. Вернул назад. На 1-м делинке в Negotation ID указан его WAN IP на 2-м - название тунеля. Тунель поднимается только при пингах со стороны 1-го DFL. Пинги проходят только до локального адреса DFL 2. Дальше хосты не пингуются. Оба DFL являются шлюзами по умолчанию.

Попробуйте уменьшить MTU на устройствах.
Провадйер пропускает ESP пакеты? Т.к. адрес Вы получаете автоматически по DHCP можно предположить, что одно из устройств находится за NAT.
Используете ли NAT-T?