Дано:
Домашняя LAN (192.168.x.0)<-> DLink DI-808HV <-> Домовая сеть (unroutable IP класса B) <-> PPTP провайдера (конкретно, flex.ru) <-> Нормальный интернет <-> DLink DI-808HV <-> Офисная LAN (192.168.y.0)
Нужно:
Запустить VPN-туннель между домашней и офисной LAN.
При отсутствии лишнего NAT у провайдера это было бы элементарно. А решается ли задача в данных условиях? Если да, то как? У кого-нибудь получилось?

Я запускал IPSec из-за провайдерского ADSL-роутера c NAT-ом. Мало того, вроде даже 2 туннеля было, но на разные "серверы".

Понятное дело, без портмапов на провайдерском NAT-е нельзя поднять туннель в эту сторону. Туннель будет подниматься только по инициативе стороны, сидящей за NAT-ом.

Кроме того, у провайдера NAT должен поддерживать соответствующий VPN-Path-Thru (IPSec или PPTP)

Это не страшно. Что в таком случае надо писать в VPN Settings на принимающей стороне?
Кто-нибудь в курсе, у flex.ru он поддерживается или как? Существуют ли какие-нибудь workarounds, обеспечивающие более-менее безопасный доступ из дома в офис, если все-таки IPSec Pass Thru на провайдере нет?

На принимающей стороне нужно использовать aggressive mode.
Если Вы хотите хотите использовать PPTP, то попросите провайдера сделать Вам маппинг портов и протоколов через nat
Как правило провайдеры разрешают проход через них ipsec и pptp.

А вот по-поводу Флекса я как раз могу рассказать точно - сам на нем сижу и юзаю IPSec VPN на базе 824<->804. Начнем с того что Флекс не пропускает чужой GRE-траффик если только у вас не постоянный внешний IP... Флекс может выделить постоянный IP за фиксированную абонентку в месяц (у меня лично 5$)...
Никакие другие ухищрения не помогут (двое суток плясок с бубном и опосля обращение к сотрудникам Флекса меня в этом убедили).
После чего поднятие тоннеля не вызывает ни малейших затруднений...

_________________
Используй то что под рукою и не ищи себе другое!

см.след.фразу.

У меня работало и без Aggressive mode. Из необычностей только использовал в качестве peer-адреса стороны за NAT-ом её внешний интерфейс, то есть тот адрес, с которого и приходят IPSec-пакеты.

Очень распространённое явление... Буквально можно пальцы на ногах загибать, пересчитывая таких провайдеров.

Я в последнее время перешёл на OpenVPN - он работает по UDP (или ТСР), устойчив и гибок, умеет туннелировать L2.

OpenVPN это конечно хорошо и здорово - НО это решение неаппаратное... Тогда и роутер не нужен... И кстати производительность связки через OpenVPN оставляет желать лучшего...

_________________
Используй то что под рукою и не ищи себе другое!

Спасибо за информацию!

По поводу OpenVPN мнения в форуме разнятся.
Кто-то говорит, что тунель гораздо производительнее, кто-то говорит, что тормозит. Есть только один выход определится, проверить самостоятельно.
Кто-то из посетителей форума писал о роутерах с ОpenVPN. Можно попробывать поискать

Да, я об этом смутно догадывался... Но это был ответ на вопрос "Существуют ли какие-нибудь workarounds...?"

С удовольствием рассмотрим Ваши данные РЕАЛЬНЫХ измерений.