2 локальные сети соединены VPN туннелем. Сам туннель стоит и работает вполне устойчиво. Из локалки 1 начинаем пинговать компьютеры локалки 2. При этом пингуется только ЧАСТЬ(!?) компьютеров локалки 2. Часть компутеров оказывается недоступной. Внутри локалки 2 пингуются все без проблем.
То же самое при попытке из локалки 2 пропинговать компы из локалки 1. Только ЧАСТЬ их доступна.
С какого компа пинговать - разницы нет. Результат одинаков.
При этом не удается заметить принципиальное отличие пингуемых компов от непингуемых. В своих сетях они полностью функционируют.
ЧТО ДЕЛАТЬ? Нужно иметь связь со всеми компами в системе!

Как вариант, можно предположить, что на удаленных машинах установлен брендмауер или стоит галка "защитить мое соединение"

Если бы пинг был бы запрещен брендмауером, былобы невозможно пинговать и по локальной сети. Но по локальной сети всё пингуется без проблем! Помогайте!

Чтобы помочь нужно собрать данные, влоть до конфигурации компьютеров. Вы уверены, что компьютер который не отвечает на icmp удаленной подсети, отвечает на такой же пинг со своей подсети?
При установлении IPSec тунелей, осуществляется связь между сетями, указанными как localnet и remotenet. Следовательно не может быть такого, что пигуется только часть компьютеров этой подсети. Если машину на ходятся в другой подсети, то пинговаться они и не будут.

В этом то и состоит чудо! Я не могу представить такого, чтоб в локальной сети пинговалась только часть компьютеров с одного хоста и при этом пинговались все с другого хоста. Логика подсказывает, что если связь есть, должны пинговаться все компьютеры. Связи нет - пинга не должно быть вовсе. Но на практике нарвались на вышеописанную ситуацию. Видимо, не всё так просто как хотелось бы думать. Бьёмся 2 дня уже. Все проверили. Но всё по-прежнему. Клянусь, что внутри локальных сетей любой компьютер может пинговать любой другой. Никаких фаерволов на локальных соединениях не задействовано. Может ли быть дело в каких-либо хитрых свойствах LAN интерфейса DI-804?

Есть ли какие-либо ограничения на адресацию в локальных сетях для правильной работы DI-804? У нас в локалках используются белые адреса, может, это как-то отрицательно влияет на работу туннеля?

Если я правильно понимю под белыми адресами Вы подразумеваете WAN интерфейсы устройств? Если да, то ничего неординарного в этом нет.
А между какими подсетями Вы устанавливаете соединение?

Не совсем так. Белые адреса в следующем смысле: Компьютеры, участвующие в локальной сети 1 имеют адреса типа 100.100.100.Х , Компьютеры локальной сети 2 имеют адреса типа 100.100.101.Х . То есть не 192.164....... как это должно быть по - хорошему. Сети создавались очень давно. О соединении с инетом тогда никто не мечтал. Адреса прописывали руками и для удобства выбрали легко запоминаемые числа. Когда потребовался выход в инет, был настроен маршрутизатор с НАТ и все работало без проблем. Только, конечно было невозможно обратиться к реальным инет адресам вида 100.100.100.Х и 100.100.101.Х, но на это всем наплевать. По этим адресам и так ничего нет.
Так может быть маршрутизатор глюкает, если локальные сети, с которыми он работает, имеет не серые, а белые адреса? Хотя, по теории, всё должно работать и так. Не понятно тогда, почему часть компьютеров другой локалки всё-же доступна.

Вы правы, адресация здесь абсолютно непричём.
Можно попробывать половить пакеты снифером, чтобы посмотреть их состояние. Может есть какие-нить маршруты? Если нет, то только сниферить.

Ручных маршрутов самодельных нет никаких. Интересно было бы посмотреть на таблицу маршрутизации DI-804. Но как это сделать? Теоретически возможно, что там описаны маршруты к непингуемым узлам неправильно.

Подскажите, какой софтиной можно поснифить, а то пока не приходилось таким заниматься.

ethereal
http://www.ethereal.com/

Один из частых глюков - это отсутствие маршрутов. Обычно, правда, это в ситуации с несколькими маршрутизаторами.

У Вас в каждой из сетей только 1 маршрутизатор?
У каждого компа указан default GW? На какой роутер?
Есть ли на компах маршруты, отличные от интерфейсной LAN-сети и обязательных?

V932 оказался совершенно прав. Путём многочисленных экспериментов удалось выяснить, что связь есть только на тех компах, у которых шлюз по умолчанию указан на DI-804! В нашей сети есть ещё один маршрутизатор, считающий статистику по юзерам, лезущим в инет. на него и были настроены шлюзы по умолчанию у всех компов в сети. К таким компам и невозможно было пробиться из подсети, подсоединенной по ВПН. Если шлюз по умолчанию менять на DI-804, всё начинает работать. Вот такой глюк.
Ситуащию разрулили, добавив на всех компах локалки дополнительный маршрут на DI-804 в случае обращения к другой подсети. По умолчанию оставили как было на маршрутизатор старый. Предлагаю писать об этом в инструкции во избежание лишних проблем клиентов. Да и техподдержке не помешает про это знать.
Возник ещё такой вопрос: какой порт/протокол используют DI-804 для связи друг с другом? Что открывать в фаерволе, чтобы ВПН работал?

ИМХО это должно подразумеватся.
Как ещё машина может отправить трафик, который не совпадает по маске с её интерфейсом? Будет искать в таблице маршрутизации и если не наёдет, отправит к дефолтному шлюзу.
Для работы IPSec протокола нужно открыть
ESP
AH
UDP-500
UDP-4500