Возможно ли настроить такую схему с помощью DI-808HV:

1. Центральный офис WAN=реальный ip адрес
2. Вспомогательные офисы WAN=серые ip адреса из диапазона 10.0.0.0/8 выходят в интенет через НАТ.

Требуется установить несколько vpn тунелей со вспомогательными офисами. Какой адрес в этом случае прописывать в tunnel destination на головном роутере.

Dynamic VPN работает только как клиент с WindowsXP, или может между DI-808HV устанавливаться?

Dynamic VPN есть в этом роутере. Смотрите на вкладке Home->VPN. Его и надо настроить в головном офисе.

И после этого туннели с серых адресов будут устанавливаться и работать (имеется ввиду одновременно штук 20)?
А как в Dynamic VPN указать удаленные сети (Remote network)?

Есть FAQ по настройке для этого случая? А то в manual написано что dynamic только для софтовыхклиентов.

Выбирайте правильное оборудование.
20 туннелей будут делить полосу в 5Mbit(это скорость аппаратного шифрования) Я бы советывал при такой нагрузке в центр поставить DFL-210 в а в филиалы как раз DI-804hv.
Но если решите использовать DI, то они позволяют соединяться по DynIPSec в режиме net-net

Спасибо за совет, в центральный офис поставим DFL-210.
Непонятно остается только вопрос по DynIPSec, он насколько я понимаю предполагает использование dyndns, а эта вешь для динамически выдаваемых реальных ip адресов, но я спрашивал именно про серые, которые сидят за NAT. Как с этим будут обстоять проблемы?
Насколько я понимаю endpoint должен постоянно пробиваться на центральный офис, поддерживая ip tunnel, а в этом случае наверное будет уместно использовать RIP протокол маршрутизации, для добавления маршрутов сетей удаленных офисов. Такое возможно? Поправьте меня, если я ошибаюсь.

Не совсем так.
К центральному офису будут цеплятся удалённые, но мэтч по IP производится не будет. И устройство будет принимать все соединения, маршрутизация будет описана в настройках Туннеля.

В настройках туннеля удаленного офиса? Те мэтч будет по destination net (на центральном офисе) = source net (на удаленном офисе) в пределах одой tcp сессии инициализируемой endpoint'ом?

Просто не хочется вдаваться в подробности работы IPSec. Если в двух словах, то туннель будет устанавливатся по:
localnet
Remotenet
remote-peer == 0.0.0.0
Т.е. принимает все соединения, потом смотрим на PSK(PreSharedKey) и потом поднимает маршрутизаю между local<=>Remote на другой стороне такая же процедура.

Спасибо, буду приобретать и пробовать.
Еще хотел спросить про надежность работы оборудования DI-808HV и DFL-210. Что нужно сделать(залить прошивки, поставить дополнительно вентиляторы или еще какие тонкости?) после покупки этого оборудования, чтобы поставить, настроить и забыть про него.

Посмотрите поиском насчёт 804