Вы и не сможете подключится. Т.к. для получения доступа к VS или DMZ зоне, обращение должно быть сформировано с обратной стороны WAN, т.е. другими словами, если вы подключитесь к wan ноутбуком или компьютером, вы получите доступ к серверу.

Немного недополнял.
Ноутбук у меня подключен через интернет. Вебсервер находится за роутером. VPN открывается с ноубука на роутер в локпльную сеть.
Вебсервер выходит наружу через роутер посредством портфорвардинга. Вернее все на него снаружи ходют.

Поднимаю VPN, ВПН работает, лажу в удаленной локальной сети. Пытаюсь обратится к вебсерверу - неподключается. Все с ноутбука.

При создании тунеля, используя стандартные средства виндоуз. Туннель делается маршрутом по-умолчанию, следовательно запросы отправляются туда.
Для того, чтобы Вы обратились к серверу,находящемуся за nat, нужно прописать маршрут на ноутбуке для wan-ip в обход тунеля

Минуточку. Как я понимаю Вы говорите, что, как только я поднимаю туннель, то все IP запросы начинают идти по туннелю? Мне казалось, что только запросы предназначенные для сети указанной в фильтре нат-ipsec-а.
Я не прав?

Упс... просиба меня простить, т.к. традиционно все подразумевают под vpn - pptp.
Вы обсалютно правы, только те запросы, которые адресованы уаленной подсети.
Не возникакет ли ошибки в логах устройства, когда Вы пытаетесь подсоеденится к серверу за nat?

Нет, все чисто. Нутром чувствую, что где-то что-то ключик стоит

А без IPSec соединения VS работает?

Да, т.е. если я свой ноутбук перезагружаю или в secpol-е отключаю это правило, а потом включаю, то все работает отлично.
Еще особенность, VS перестает с ноутбука откликаться не сразу, а только через некоторое время.....

На какие порты произведет мапинг?
Нужно попробывать собрать подобную схему.
route print xx.xx.xx.xx
не меняется до пропадания и после пропадания?

Ведется меппинг всех портов, в фильтрах стоит All и там и там (WinXP)

Как я понял я должен запустить в командной строке route print xx.xx.xx.xx? С указанием айпиадреса сервера за роутером или чего?

Команду нужно запускать с ноутбука, с которого вы подключаетесь по IPsec.
Как ведется мапинг всех портов? Сервер помещён в dmz?
И в каких фильтрах стоит all?

Результат работы команды до запуска VPN (вернее он был, но уже прошел час):
Active Routes:
Default Gateway: 295.151.191.129
None
Persistent Routes:
None
----------
после подключения VPN-а (вебсервер уже не отвечает при его опросе с ноутбука, с другой машины работает):
Active Routes:
Default Gateway: 295.151.191.129
None
Persistent Routes:
None
------------

Сервер не помещен в DMZ. Сервер стоит внутри локальной сети и на роутере сделан порт форвардинг, у длинка это в области виртуального сервера.

Меппинг портов делается в настрйоках secpol.msc, а именно:
В правилах IP Security, есть два правила, на туда и на сюда (см. фак). В каждом из правил есть вкладка фильтры IP, если на ней нажать edit, то мы и попадаем собственно в IP Filter List, где снизу есть фильтры. Там указываются интерфейсы, протоклы, и т.д. Так вот там у меня указано, что зеркалирование отключено, протокол any, порт источника any, порт приемника any, DNS имя источника - мой айпи, адрес источника - мой айпи, маска источника - все 255, адрес приемника - 192.168.0.0, маска - 255.255.255.0.
Это соответственно для фильтра WinXP -> DLink
И есть такой же фильтр, для обратного, где наоборот.

Дело в том, что для VS никакие политики не нужны.
Все обращения ведутся вне ipsec тунеля.
Когда установлен туннель вы можете пользоватся интернетом, следовательно можете видеть WAN интефейс устройства, а если видите, то можете к нему обращатся и ответы пойдут не по тунелю, а по интернету.
Одновременно с IPsec мапинг работает, я проверил.

Я думаю совершенно так же. И думаю, что должно работать. Но почему-то не работает. Возможно ошибка кроется где-то на стороне ноутбука, в настрйоках VPN-а.
Только вот не знаю где. Я профан в VPN-е.