Такая проблема. Не знаю, как вкратце объяснить, поэтому текста много )))
Есть DFL-800 с последней прошивкой 2.20.00.26-4231, адрес LAN интерфейса поменян на 192.168.5.223 (и сети Lannet соотв. тоже на 192.168.5.0/24), адрес 192.168.1.1 - у меня. Соединяет 1-ю и 5-ю подсети девайс DGS-3308TG с помощью 802.1q VLAN (адреса его портов 192.168.1.216 и 192.168.5.100). Маршрут в 1-ю подсеть на DFL-800 прописан через 192.168.5.100, от 1-й сети в 5-ю - через 192.168.1.216. Создано правило доступа из 1-й подсети к DFL-800. Все элементарно и все работает, пока не начинаю настраивать IPSec. Делаю туннель между сетями 192.168.1.0/24 и 192.168.13.0/24, ставлю галку "автоматически добавлять маршрут", создаю два правила пропуска пакетов из 1-й сети в 13-ю и обратно. И после этого все нормально работает в обоих подсетях, кроме конкретно меня! То есть, из 1-й сетки видна 13-я, из 13-й видна 1-я, а я не вижу 13-ю и вдобавок перестаю видеть сам DFL-800, хотя порт на DGS-3308TG (192.168.5.100) - вижу. При этом, сам DFL-800 меня (т.е. адрес 192.168.1.1) пинговать может.
В логе у него появляются вот такие события:
Date 2008-03-17 12:56:17
Severity Warning
Category/ID RULE 6000051
Rule Default_Access_Rule
Proto ICMP
Src/DstIf lan
Src/DstIP 192.168.1.1 / 192.168.5.223
Src/DstPort
Event/Action ruleset_drop_packet / drop

Порывшись в мануале, нахожу совет настроить доступ к 1-й подсети (Rules/Access), делаю. Событие исчезает и начинает появляться другое:
Date 2008-03-17 14:42:10
Severity Notice
Category/ID RULE 6000060
Rule LocalUndelivered
Proto ICMP
Src/DstIf core
Src/DstIP 192.168.5.223 / 192.168.1.1
Src/DstPort
Event/Action unhandled_local / drop


Кроме того, в таблице Connections появляются записи типа:
State PING
Proto ICMP
Source core:192.168.1.1:49945
Destination VPN_13:192.168.13.1:49945
Timeout 5

Почему "core:192.168.1.1"? Он что, до сих пор считает, что 192.168.1.1 это его собственный адрес?
Почему-то проблема исчезает после переноса DFL-800 в 1-ю подсеть с назначением адреса, например, 192.168.1.223
Но дело точно не во втором свиче (DGS-3308TG), т.к. ни одного фильтра на нем не создано, да и другие устройства из 5-й подсети я спокойно вижу. К тому же, повторюсь, пока не создаются туннели, никаких проблем с доступом к DFL-800 нет.
SOS

В свойствах IPSec в качестве local network должны быть указаны все ваши локальные подсети, которые вы хотите заворачивать IPSec, обычно одни добавляются в группу, в вашем случае придется снять галочку добавить маршрут автоматически, и указать маршруты в ручную. Тот маршрут будет выглядеть примерно так. интерфейс IPSec -> network 192.168.1.0/24 -> gateway 192.168.5.100