Ну вот чтобы другие не долбались железо скрещено с софтом и вот как со стороны фрей:
kernel:
options IPSEC
options IPSEC_ESP
options IPSEC_DEBUG

racoon:
/usr/ports/security/ipsec-tools
make install кто забыл, гы.

/etc/ipsec.conf:
flush;
spdflush;
spdadd 192.168.4.0/24 192.168.2.0/24 any -P out ipsec esp/tunnel/freerealip-hvrealip/req
uire;
spdadd 192.168.2.0/24 192.168.3.0/24 any -P in ipsec esp/tunnel/hvrealip-freerealip/require;

где 192.168.2.0/24 - локалка 804-го
192.168.3.0/24 - локалка фрей
например.

/usr/local/etc/racoon/racoon.conf:
router# more /usr/local/etc/racoon/racoon.conf
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
#path certificate "/usr/local/etc/cert" ;

padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}

listen
{
#isakmp ::1 [7000];
isakmp freerealip [500];
#admin [7002]; # administrative's port by kmpstat.
#strict_address; # required all addresses must be bound.
}

timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per a send.
# timer for waiting to complete each phase.
phase1 30 sec;
phase2 15 sec;
}

remote anonymous
{
#exchange_mode main,aggressive;
exchange_mode aggressive,main;
doi ipsec_doi;
situation identity_only;
#my_identifier address;
#my_identifier user_fqdn "user@domain.ru";
#peers_identifier user_fqdn "user@domain.ru";
#certificate_type x509 "mycert" "mypriv";
nonce_size 16;
lifetime time 3600 sec; # sec,min,hour
initial_contact on;
support_mip6 on;
proposal_check obey; # obey, strict or claim
proposal
{
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key ;
dh_group 1 ;
}
}

sainfo anonymous
{
pfs_group 1;
lifetime time 3600 sec;
encryption_algorithm 3des ;
authentication_algorithm hmac_md5;
#authentication_algorithm non_auth;
compression_algorithm deflate ;
}

/usr/local/etc/racoon/psk.txt (chmod 600, user root, group wheel)
hvrealip password

/etc/rc.conf:

static_routes="Pvpn"
route_Pvpn="192.168.2.0/24 192.168.3.1"
ipsec_enable="YES"
racoon_enable="YES"

где 192.168.2.0/24 - локалка 804-го
192.168.3.1 - ип локального интерфейса фрей.
Учтите, без этого статика у вас работать будет раз через 100.

далее:
/etc/rc.d/ipsec restart
/usr/local/etc/rc.d/racoon.sh start
route add 192.168.2.0/24 192.168.3.1
это чтобы не перезагружаясь получить эффект работоспособности.
Все. На 804-м обращаем внимание на то чтобы номер Group IKE и IPSEC соответствовали параметрам в конфиге ракона pfs_group 1 и dh_group 1, в данном случае Group у нас 1 в ике и ипсек пропосалах, encryption и hash (оно же в 804-м auth) алгоритмы соответственно должны быть одинаковыми и на 804-м и в раконе, причем ике - пропосал, а ипсек - саинфо ракона. lifetime time 3600 sec ракона тоже должны быть такими же как в пропосалах 804-го. Хотя я не издевался над ним на этот счет.
Пускаем это дело, смотрим в логи (обращаем внимание на кнопку last page, она показывает последние события и больше никто) и видим как оно прицепилось (не забываем открыть firewall, это вообще дурная привычка заранее закрывать порты которые даже пока отсутствуют в сокете). не пытаемся в меню миск 804-го пинговать фришные ипшники, не выйдет. Пингуйте их с компов локалки, оттуда получится. С грустью смотрим на RIP настройки 804-го, вы не сможете включить вашу новую железку в схему динамической маршрутизации, ве эти кнопки в меню роутинга длинка сделаны просто для красоты. Статику тоже не советую прописывать на пути ипсек впнов, оно ведет себя неадекватно. Еще при потоковом трафике на 2 хоста этот длинк можно использовать как электрическую плиту, думаю что яичница зажарится неплохо... Но пашет...

ЗЫ: Граждане с длинка, поправьте свой фак вот этим плз. Тем более что картинки 804-го я тут не вставляю, они как в факе почти.