Есть вот такая схема



2 роутера Dlink 804 поднимают IPSec тунель,

задача добиться того, чтобы пакеты из сети 192.168.4.0/24 ходили в сеть 192.168.5.0/24

Настройки левого роутера
VPN
Local subnet: 192.168.3.0
Local netmask: 255.255.255.0
Remote subnet: 192.168.5.0
Remote netmask: 255.255.255.0
Remote gateway: 172.17.10.2

прописан роутинг
Destination 192.168.4.0
Subnet mask 255.255.255.0
Gateway 192.168.3.2


Настройки правого роутера
VPN
Local subnet: 192.168.5.0
Local netmask: 255.255.255.0
Remote subnet: 192.168.3.0
Remote netmask: 255.255.255.0
Remote gateway: 172.17.11.2

IP-Sec тунель поднимается
Пакеты с адреса 192.168.3.2 до адреса 192.168.5.1 (и далее в сеть 192.168.5.0/24) ходят без проблем в обе стороны


Если же отправлять пакеты с адреса 192.168.4.1 то они не заворачиваются в тунель, уходят в WAN-интерфейс по default gateway и далее успешно дропаются в сети провайдера.

Меняю конфигурацию для IPSec и делаю следующее

Настройки левого роутера
VPN
Local subnet: 192.168.4.0
Local netmask: 255.255.255.0
Remote subnet: 192.168.5.0
Remote netmask: 255.255.255.0
Remote gateway: 172.17.10.2


Настройки правого роутера
VPN
Local subnet: 192.168.5.0
Local netmask: 255.255.255.0
Remote subnet: 192.168.4.0
Remote netmask: 255.255.255.0
Remote gateway: 172.17.11.2

Тунель поднимается но ничего по нему не ходит

Пожалуйста рассмотрите данную проблему с роутингом в IPSec-тунель и невозможностью работы тунеля с адресами из не connected сети

Ротинг через IPSec весьма проблематичен, т.к. должно быть обязательное соотвествие с SPD. если сеть не будет пренадлежать политике, то всё будет по-боку.
Есть два варианта решения Вашей проблемы.
1. Использовать более широку маску localnet чтобы трафик "влезал" в SPD
2. Использовать указанный Вами ниже Вариант, только Вы забыли указать самое главное. Роутинг на 4-ю подсеть. Такая схема стопроцентов работает. У одного из клиентов была подобная задача, решилась без особых проблем.
3. Поднять IPSec на Unix'e

> 2. Использовать указанный Вами ниже Вариант, только Вы забыли
> указать самое главное. Роутинг на 4-ю подсеть.
> Такая схема стопроцентов работает.

В каком месте я забыл указать роутинг? на левом Dlink роутинг прописан, с правого все попадает в тунель по default

Или вы имеете ввиду вариант 2, там роутинг был прописан на левом устройстве, я просто я забыл указать его в собщении

> 3. Поднять IPSec на Unix'e
>

В смысле убрать DLinkи из схемы вообще?

Проблема в том что те роутинги которые прописываюся в Route просто не роутятся в IPSec интерфейс, а выбрасываются наружу через default

Ошибки стопроцентов быть не может!
SPD создаётся при создании туннеля, соглавно Local и Remote net.
Как только приходит трафик в DestIP и мэтчится с RemoteNET, то трафик автоматически будет направлен в тунель. По-другому быть не может.
Какая у Вас прошивка? Установите 1.43, сбросьте устройство к заводским настройкам и попробуйте изначально.
Ошибки быть не может стопроцентов, если Вы думаете что это так, то жду от Вас дамп снифера, где это будет отображено.
Хотя я могу предположить, что в "правом" устройстве сохранена старая SA, перегрузите устройство, тем самым удалите все созданные политики и SA. И попробуйте снова...