Не получается поднять IPSec туннель между DFL-600 и DI-804.
Как только на DFL-600 создаю туннель, перестает пинговаться удаленный адрес, на котором стоит DI-804. Туннель соответственно тоже не поднимается. Удаляю туннель - пинг сразу появляется. Любые другие наружные адреса пингуются без проблем.
На обоих концах соединения через ADSL-модем с включенным NAT. Если вместо DFL-600 ставлю DFL-200 - все чудесно работает.
Собирал схему DFL-600 <-> DI-808 на столе напрямую через патчкорд - туннель работает нормально, подсетки видятся, но пинг на WAN-интерфейсы друг друга не проходит. Никаких фильтров и политик не создано. В заводские настройки сбрасывал. Версия FW 3.35

А что в логах при пинге. Какие ошибки показывает?

В том то и дело, что никаких видимых ошибок. Перекопал все логи. И в политиках никаких блокировок не создано. Но стоит только удалить созданный туннель (даже не поднятый), то пинг мгновенно появляется. Смотрю в онлайне по "ping -t address".

Нужно смотреть таблицу маршрутизации устройства.

Я уже смотрел. Шлюз по умолчанию не меняется и указывает на мой DSL-модем.

Я про новые, добавленные маршруты.

Проверил. Скопировал сюда.

Туннель создан:
Destination IP address Subnet Mask Gateway IP address Interface
192.168.2.0 255.255.255.0 0.0.0.0 WAN
192.168.1.0 255.255.255.0 0.0.0.0 LAN
192.168.250.0 255.255.255.0 0.0.0.0 DMZ
239.0.0.0 255.0.0.0 0.0.0.0
0.0.0.0 0.0.0.0 192.168.2.1 Default

Туннель удален:
Destination IP address Subnet Mask Gateway IP address Interface
192.168.2.0 255.255.255.0 0.0.0.0 WAN
192.168.1.0 255.255.255.0 0.0.0.0 LAN
192.168.250.0 255.255.255.0 0.0.0.0 DMZ
239.0.0.0 255.0.0.0 0.0.0.0
0.0.0.0 0.0.0.0 192.168.2.1 Default

Абсолютно одно и то же. Кстати, а что такое 239.0.0.0?

239.0.0.0/8 Это один из адресов мультикаста.
А не могли бы Вы привести что у Вас написано в target IP?

Если имеется в виду Starting Target Host, то там 192.168.12.1 (пробовал 192.168.12.0 - не помогает). В Termination IP - тот реальный IP, который я пытаюсь пинговать.

Как-то очень странно.
Target это удаленная подсеть и с TermintorIP он не связан. При настройке тунеля происходит добавление маршрута на удалённую подсеть через IPSec туннель, но IP 804-го должен стопроцентов видется.

В том-то и дело, что странно. Иначе бы я сюда не обращался. Проверил сейчас на DFL-200 - имено так и происходит. При создании 2 туннелей автоматически добавляются новые маршруты. А здесь никак.
Туннель не поднимается и удаленный хост не пингуется. При моделировании на столе через патчкорд туннель поднять удалось, но пинг все равно не проходит.

Есть какие-нибудь идеи или тупо сдавать по гарантии?

Возможно ли с официального благословения D-Link'а поменять ее на DFL-200? Железка абсолютно новая, только что из коробки.

Насчёт маршрутов...
Их устройство и не должно показывать, увы но такая реализация.
насчёт сдачи это уже в магазин, который Вам её продал.
PS: Надеюсь, что купили Вы её не в "модуле" у Колесникова ;-)
Вообще туннели Di-80х с DFL-600 создаются без особых проблем.

А что, "Модуль" Колесникова на всю страну известен?

Нет, не в "Модуле". Мы являемся системным интегратором и все каналы поставок у нас официальные и оптовые. Конкретная железка куплена в OCS. Я почему и спросил, что может быть по рекомендации производителя поменять одну модель на другую.