Уважаемые коллеги!
Получается вот такая ерунда:
поднял VPN но SUBJ. Все щл -
Настройки в DFL 200 <system>-><administration>-><Ping - standard ICMP echo to the IP address of the interface > выставил (вкл).
причем, dfl-200->dfl-600 - ping-ok
a , dfl-600->dfl-200 - ping-fail

В чем проблема - весь firewall перекопал.

С увжением psl@psl.koenig.ru

А что пингуем? Интерфейсы устройств?
Сообщение в журнале о drop пакетах есть?

на dfl-200 private network 192.168.11.1 внутренний интерфейс
на dfl- private network 100.100.1.1 внутренний интерфейс

с dfl 200 на dfl 600 ping идет те ping 100.100.1.1 ->ok
с dfl 600 на dfl 200 ping не идет ping 192.168.11.1 ->fail

в VPN пакеты идут (видни в статистике по vpn) в одну сторону - в сторону dfl 200, а обратно - нет ( в dfl 200 в статистике [2006-06-26 21:04:17] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=WAN srcip=218.89.129.18 destip=83.219.159.55 ipproto=UDP ipdatalen=384 srcport=1106 destport=1434 udptotlen=384

[2006-06-26 21:02:56] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=WAN srcip=221.208.208.97 destip=83.219.159.55 ipproto=UDP ipdatalen=465 srcport=60544 destport=1027 udptotlen=465
)

То что Вы привели это не ICMP пакеты пингов и приходящий интерфейс WAN, а должен быть интерфейс тунеля.
Настройте на DFL-600 исходящие фильтры, чтобы ходил пинг.

а как посмотреть интерфейс туннеля в df-200 и dfl-600

Что значит "как посмотреть"?

это значит, что логи посмотреть тоннеля хочется, чтобы понять где косяки лезут. похоже что DFL 200 футболит трафик от DFL 600 : т.к. в логах DFL 200 есть какая-то запись про rule=final-drop-action. хотя в FW такого правила нет. Кстати, как в DFL 200 FW отключить совсем?

Если есть такая запись, то значть нет разрешающего правила или что-то некорректно настроено.
Хотя final-drop может относится и к обсалютному трафику, т.е. трафику интернета или локальной сети, который впринцепе устройство должно дропать.

НУ НЕ МОГУ ПИНГАНУТЬ DFL 200 С DFL 600 го, хотя p2-set есть. !!!!!

вот log dfl 200

[2006-07-06 21:19:37] <5>EFW: CONN: rule=IPsecBeforeRules conn=close connipproto=UDP connrecvif=WAN connsrcip=195.135.214.74 connsrcport=500 conndestif=core conndestip=217.168.74.13 conndestport=500 origsent=3624 termsent=0

[2006-07-06 21:18:19] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=WAN srcip=212.5.77.106 destip=217.168.74.13 ipproto=TCP ipdatalen=20 srcport=80 destport=4030 rst=1 ack=1

[2006-07-06 21:18:08] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=WAN srcip=221.208.208.102 destip=217.168.74.13 ipproto=UDP ipdatalen=465 srcport=33397 destport=1027 udptotlen=465

[2006-07-06 21:17:56] <5>EFW: CONN: rule=IPsecBeforeRules conn=open connipproto=ESP connrecvif=WAN connsrcip=195.135.214.74 connsrcid=0 conndestif=core conndestip=217.168.74.13 conndestid=0

В логе нет ни слова ни о поднятия тунеля ни о отброшеных пакетах пришедших с него.
В 600м нужно настраивать outbound filter
Для начала попробуйте их выключить.

Заработало (оказывается все работает без доп . настороек) но ситуация такя: оказывается с dfl-600 (адрес внутренний 192.168.0.1) пинги в VPN идут, а df-200 (внутр. адрес 192.168.10.1) на них не отвечает (сволочь такая). Но из внур. сети,которая за VPN (за DFL-600), ping бегает со страшной силой - т.е. все ОК. Имеем ping c DFL-600 192.168.90.1 - fail, a ping c 192.168.0.100 на 192.168.90.1 ОК. Итак , резюме: c роутера на роутер (с 600 на 200) и во внутр. сеть ping не ходит, а из внутр. сети, котроая за роутером(600), все в порядке. Во БЛИН dlink дает ребусы !!!!