2andru
Проблема скорее в доменной структуре. В ней я ничего не знаю без Доменов сеть работает.
2Andrew Yurchenko Как Вашу топологию я так до конца и не понял.

У меня две сети 192.168.8.0/24 и 192.168.2.0/24.
Соединение VPN IPSec.
Сеть 192.168.8.0 обслуживается 804HV, сеть 192.168.2.0 обслуживается ZyWall.
В обоих сетях есть терминальные сервера 192.168.2.11 и 192.168.8.2.
Также есть PPTP сервер в сети 8.0, диапазон выделяемых адресов 192.168.8.20-192.168.8.30.
После замены 804hv на DFL-800 имеем следующее:
1. RDP сервер 192.168.2.11 из сети 192.168.8.0/24 не работает.
2. RDP сервер 192.168.8.2. из сети 192.168.2.0/24 не работает.
3. RDP сервер 192.168.2.11 из диапазона 192.168.8.20-192.168.8.30 _РАБОТАЕТ_.
4. RDP сервер 192.168.8.2 из диапазона 192.168.8.20-192.168.8.30 _НЕ_РАБОТАЕТ_.

Пустил RDP + Citrix мимо IPSec VPN, напрямую через инет.
Так, работает.
Однако через тоннель перестал работать FireBird.
Втыкаю обратно 804 - работает FireBird, втыкаю DFL-800 - БОЛТ.
В логах чисто.
Как это прокомментировать ???

Я не возьмусь ни за какой комментарий так как не знаю как отрабатывает Зюхел.

Никак он не отрабатывает.
Стоит галка не фильтровать VPN. Вообще firewall отключал. На зиволе.
С 800-м колбасит, с 804 нет. Кто виноват ?

у обоих устройств разный алгоритм работы с IPSec, 804 не понимает ни каких параметров и просто _всё_ шлёт в туннель. 800-й имеет иной механизм и _всё_ в туннель не пускает, а фильтрует.

Я все понимаю.
У меня два правила: все в туннель пускать, все оттуда принимать.
Работает ftp,http,smtp,pop3, icmp. Не работает RDP, FireBird, ICA.
В логах чисто.
Что я могу напороть в конфигурации, чтобы были такие глюки ???

на самом деле Вам нужно попробывать включить в число передаваемых данных не только all_tcp_udp, а и all_ip потому как не исключено что при вашей схеме используются не только tcp порты но и какие-либо протоколы.
...
The activity involved in sending and receiving data through the RDP stack is essentially the same as the seven-layer OSI model standards for common LAN networking today. Data from an application or service to be transmitted is passed down through the protocol stacks, sectioned, directed to a channel (through MCS), encrypted, wrapped, framed, packaged onto the network protocol, and finally addressed and sent over the wire to the client. The returned data works the same way only in reverse, with the packet being stripped of its address, then unwrapped, decrypted, and so on until the data is presented to the application for use. Key portions of the protocol stack modifications occur between the fourth and seventh layers, where the data is encrypted, wrapped and framed, directed to a channel and prioritized.
...
http://support.microsoft.com/kb/186607

есть у меня ещё одно подозрение по поводу MSS, который настраивается в Advanced Settings->TCP
Но что-то точное сказать можно посмотрев снифф скажем со стороны клиента устанавливающего соединение с RDP

Два вопроса, уважаемый.
1. У меня нет all_ip, как его создать правильно и что туда включить ?
2.

Вот такие параметры сейчас.

Собственно еще третий вопрос, забыл совсем.
Что снифером смотреть ? Какой параметр нужен ?

1. создать сервис IP protocol где указать 0-255. И включить его в группу all-services.
2 Вот тут к сожалению без снифа ничего подсказать не могу, потому как проблема локальна. Для начала нужно попробывать параметр TCP MSS on High выставить в log and adjust и смотреть логи. Потом пробывать узменение MSS параметров которые будут видны из снифа.
Иду в слепую по аналогии с Cisco у них была такая же проблема при передачи "тяжелого" трафика по ipsec

У меня тоже не работает .
Все советы уже из этой темы перепробовал.
В логах у меня такая вот бяка:
2007-01-17 14:22:11
Notice DROP
LayerSizeConsistency - что за зверь такой???
IPsec_tunnel
192.168.1.10
192.168.2.10
ipdatalen=20 tcphdrlen=24 fragoffs=1400 fragid=27394

Это и есть проблемы с MSS, когда не может согласоватся максимальный размер передачи. Особенно актуально, когда с другой стороны устройство не смотрящее на размеры.
MTU у IPSec пакетов меньше, чтобы со всемы заголовками оно спокойно помещялось внутрь выходного пакета.

А делать то что? С обеих сторон у меня DFL-800. TCP MSS on High выставить в log, но в логах путо, только вот эта строка.