СЕТЬ 1.
DI-804HV:
-внешний IP (217.x.x.x)
-внутренний IP (192.168.5.1)
-маска внутр. сети 255.255.255.0
СЕТЬ2.
DSL-500T:
-внешний IP (88.y.y.y)
-внутренний IP (192.168.1.1)
-подключен мостом через сетевую в комп. с IP (192.168.1.2)
-маска внутр. сети 255.255.255.0

На DI-804HV подняли VPN (IPSec) как описано в FAQ.
Настроил в СЕТИ 2 рабочую станцию (192.168.1.2) из того же FAQ.
Но при попытке ping`a из СЕТИ 2 в СЕТЬ 1 выдается:
-----
Согласование используемого уровня безопасности IP.
Согласование используемого уровня безопасности IP.
Согласование используемого уровня безопасности IP.
Согласование используемого уровня безопасности IP.
Статистика Ping для 192.168.5.3:
Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь)
-----
Соответсвенно VPN не устанавливается.
Подскажите, пожалуйста, где и что не донастроил?

Нужно настраивать WinXP устройства нипричём. Фактичестки скорее всего происходит несоединения из-за невозможности согласовать политики безопасности. В частности проверьте ключи, аутификацию и хэши.

Канал вроде бы стоит.
Пинг с машины 192.168.1.2 идет толко на внутренний адрес DI-804HV (192.168.5.1) и доступ через браузер есть. Но на машины, находящимися за DI-804HV, пинг не проходит.
Что еще может быть?

Машины за 804-м имеют в качестве шлюза по умолчанию DI-804hv?

Точно не знаю (стоит в другом месте) и спросить пока не у кого. А что может быть?

Может быть то, что пакеты пришёл, а устройство не знает кому его отдавать.

Т.е. я так понимаю нужно назначить Port Forwarding на машину за 804-м или назначить на нее DMZ-зону. Или не так?

нет форвардинг не нужен нужен только маршрут!

А не подскажите, как установить этот маршрут. Машина к которой нужно получить доступ подключена к 804-му.

Маршрут с указанием движения трафика. Т.е. чтобы он знал куда возвращятся.

Это я понял. На машине подключенной к 804-му шлюз на него указан. А в самом 804-м что-нибудь еще нужно указывать? (интересует конкретный параметр, т.к. у меня нет доступа к его настройкам, и нужно сказать человеку на той стороне что и где включить)

Так, давайте по-порядку.
У вас есть соединение DI-804hv -- WINXP клиент. Соединение поднимается, но пинги не ходят, точнее ходят но только до интерфейса DI.
ЧТобы они прошли дальше нужно понять, почему они не идут. С виндоусом ниразу не настраивал IPSec, по этому сказать единственный ключик, который нужно прописать не скажу.
У Вас кстати на DI IPSec настроен как DynIPSec или в Main_Mode?

Точнее есть соединение DI-804hv -- DSL 504T -- WINXP клиент.
Пинги с WINXP на внутренний IP DI-804hv проходят, на машину подключенную к DI нет. На этой машине шлюзом прописан DI.
Где можно посмотреть в DI режим IPSec: DynIPSec или Main_Mode?
Если вы имеете в виду настройки Dynamic VPN Settings, то здесь ничего не настраивали.

Лутше будет, Если будет настроен именно он.
У меня есть FAQ как настроить DI и клиень DS-601, могу выслать.

А что за оборудование такое DS-601?