Установлен VPN канал между DI-808HV.
Со следующими настройками:
Aggressive Mode (не вкл)
Local Subnet 172.20.11.0
Local Netmask 255.255.255.0
Remote Subnet 172.20.10.0
Remote Netmask 255.255.255.0
Remote Gatwey XX.XXX.XXX.XX
IKE Keep Alive
Preshare Key *********

IPSec NAT Traversal (enable)
Auto-reconnect (enable)

IKE Proposal Index:
Proposal Name tunel
DH Group Group2
Encrupt algoritm 3DES
Auth algoritm MD5
Life Time 28800
Life Time Unit sec

IPSec Proposal:
Proposal Name tunel
DH Group none
Encap protocol ESP
Encrypt algoritm 3DES
Autch algoritm MD5
Life Time 3600
Life Time Unit sec

(прошивка на DI-808hv - V1.50b02)

Туннель функционирует нормально. Заменяю с одной стороны на DFL-800(2.20.01.05-4840 Feb 8 2008), делаю следующие настройки:

Interfaces>IPSek:
Name tunel
Local network lannet(172.20.10.1-172.20.10.240)
Remote network 172.20.11.0/24
Remote endpoint XX.XXX.XXX.XX
Encapsulation Mode Tunel
IKE Config Mode: None

Algorithms
IKE Algorithms: medium
IKE Life Time: 28800
IPsec Algorithms: medium
IPsec Life Time: 3600
IPsec Life Time: 0

IKE Settings:
IKE
main DH group

Perfect Forward Secrecy
none

Security Association
Per Net

NAT Traversal
On if supported

Dead Peer Detection

IP rules:

Lan to wan1
allow_standard (по умолчанию)
drop_smb-all
allow_ping-outbound
allow_ftp-passthrough

IPSek
Shev_to_lan со значениями:

Action Allow
Service: all_for_IPSek (там, от безысходности все доступные сервисы по умолчанию)
Schedule: none
Address Filter
Interface:
IPsek tunel
remote net
lan lannet

(такое же правило создано в обратном направлении)
Канал устанавливается, по netbios видны компьютеры обоих подсетей в одной рабочей группе. Общие ресурсы не доступны, программа работающая через VPN по netbios не пускается.
В logging получаю sa lookup-failure Что еще сделано не так?

Пинги идут? Используется ли контроллер домена? возможно его политика не позволяет использовать ресурсы не авторизоваашись на нем.

Пинги не идут, домен не поднят (по определенным причинам), все на уровне рабочей группы.
Файловый сервер при запросе клиента к шаре, должен предложить ввести имя пользователя и пароль - этого не происходит. Просто запрещен доступ. На файловом сервере сделано вот так viewtopic.php?t=53069 и потом, если в связке DI-808HV-DI-808HV все работает, следовательно с аудитом безопасности и с политиками, все в порядке.

По приведенному выше примеру построения туннеля. На файловом сервере установлена программа автоматизации предприятия, развернута база на SQL терминалы продаж по netbios через vpn связываются с файловым сервером. Всё.
Пробовал включать\отключать Nat Traversal, щас подумал, а ведь в правила разрешенных через IPSek сервисов входит и ping ( и in и out) а в rules lan_to_wan1 находяшихся выше - этого нет, возможно пинги не ходят из-за этого...
В впечатление такое, что каналы устанавливаются, а потом по какой-то причине блокируются. Завтра приведу полный лог от момента включения vpn до блокировки...

Вот что по логам происходит с туннелем:

2008-05-07
09:11:11 Notice IPSEC
1800113
sa_lookup_failure
drop
source_ip=XX.XXX.XXX.XX dest_ip=LL.LLL.LLL.LLL spi=b1040010 seq=366 protocol=esp reason="ESP SA lookup failure"

2008-05-07
09:11:11 Info CONN
600001 IPsecBeforeRules ESP wan1
core XX.XXX.XXX.XX
LL.LLL.LLL.LLL
conn_open
conn=open connsrcid=0 conndestid=0

Как видно из логов, пакет искажается, вероятно причина в NAT

Сейчас в Rules поставил папку IPSek над всеми правилами, каналы установились, пинги ходят, RAdmin по каналам работает, остается одна проблема - общие ресурсы и не работает программа по netbios.
В logging одна ошибка

2008-05-07
10:30:54 Notice RULE
6000031 DirectedBroadcasts directed_broadcasts drop

Зачем снимали то галочку IPSec до правил? она стоит по умолчанию и не просто так.

не подумал, ни каким местом
Сейчас остался последний вопрос (и будет полная и убедительная победа)
по установленному каналу не идет netbios (проверяю с удаленной машины в cmd nbtstat -a Xxx
В разрешенных сервисах есть netbios name, bgm, ssn что еще не хватает?

Где стоит по умолчанию галочка "IPSek до правил" тоже интересно было бы узнать.

netbios в тоннель пройдет, но netbios broadcast нет, поэтому в обзоре сетей удаленного компьютера не видно, самый простой выход из положения прописать имена в файле hosts, тем самым заставив отвечать хосты но именам, самый не простой поднимать WINS сервера.

DI-808hv позволяет одной галочкой установить NetBIOS broadcast
Принцип построения канала кардинально отличен от DFL-800?

На самом деле с одной стороны DI-808HV посылает\пропускает NetBIOS broadcast, с другой стороны DFL-800 его дропит, что нужно разрешить или какое правило написать, что бы DFL-800 его не отбивал? Вот в чем суть вопроса!

На DFL подобное не разрешить.