поковырялся еще, такое впечатление, что DI-804 этого не умеет, хотя дуал аксцес заявлено, маршрутизацию бы поковырять, но что-то пока не доходит как

Станислав, спасибо за оперативность, но "политика партии" на вопрос не ответите, без обид, про шлюз по умолчанию?

Про шлюз с удовольствием отвечу.
Как вы знаете в любой системе шлюз по-умолчанию? то что не попало в статическую таблицу маршрутизации(директ коннектед сети, статические маршруты) Дак вот IPsec туннель это по идее статический маршрут, правда охраняется он SPD(Security Policy Database) в котрой прописано какому трафику можно попадать в туннель, а какому нет(это описывается в RemoteNet и LocalNet именно эти параметры являются образующими SPD)
Если прошивки действительно свежие, то остаётся проблема с настройками. Говорю я с уверенностью, что эта схема работает, потому что была проблема, которую исправляли связанная именно особенностью работы ipsec в подлежащщей(direct connected сети)

офф топ, смотрите гонку формулы1 в воскресенье, легенларная трасса СПА
соперничество Алонсо и Хемильтона, оно этого стоит

зы. на РЕНТВ погрязшем в рекламе

спасибо Станислав, буду грызть гранит науки(и дальше), снимаю шляпу, благодарю.
зы. вы еще на работе, или просто за идею(уважаю), ведь время позднее, согласен офф топ

Станислав, хочу вернуться к вопросу, прошил я b11, и что? РРТР перестал подниматься, хрен редьки не слаще, предупрежу возможные вопросы:
1. прошивал, сбрасывал в заводские настройки, настраивал заново в ручную.
2. прошивал, без сброса.
3. прошивал, сбрасывал, заливал конфиг из файла.
результат: "фик вам" РРТР нет коннекта, АЙ-ПИ присваивается, ДНС тоже, время коннекта прочерк, шлюз по умолчанию нули, надпись РРТР дисконект

заливаю конфиг на другой 804 (ха, да их у меня 4 штуки), с прошивкой 1.42 работает, дальше интереснее беру злополучный 804 с прошивкой 1.44В11
заливаю ему конфиг от другой схемы подключения, у нас в гродской сети инет тоже раздает провайдер по РРТР, и ха РАБОТАЕТ
сечас продолжу эксперимент, буду добавлять по мере

предварительные выводы: чтото не достроено на ДФЛ-210


и еще что покрутить, прям "понос" из городской сети в логах на 210-м
особо достает вот это, это на DMZ(WAN2)
2007-09-15
17:48:55 Warning IP_PROTO
07000014 TTLOnLowMulticast UDP wan2
192.168.100.11
239.255.255.250 1039
1900 ttl_low
drop

и вот это, но с этим наверно ничего не поделать, это на WAN
если только в АКСЦЕСЕ дропать
2007-09-15
18:09:18 Warning RULE
06000051 Default_Rule TCP wan
77.xxx.xxx.xxx
77.xxx.xxx.xxx 4688
139 ruleset_drop_packet
drop
зы. ххх для конспирации, там реальные ип

наковырялся от души, РРТР на прошивке 1.44в06 работает, а на 1.44в11 не работает, проверено, но на другой схеме (см. выше) работает, вердикт:
какая-то не стыковка 210 и 804, к сожалению я не могу отследить лог 210, такой "понос" из городской сети в логах, мама не горюй (см. выше) за 5 секунд пока передергиваю кабели, полезная информация в логах уже не доступна, одни дропы, по 300 шт за секунду или больше где придавить помойку?

продолжение битвы:
804 прошивка 1.42(древность), в городской сети провайдер дает интернет по РРТР и присваивает белый АЙ-ПИ 80.ххх.ххх.146(за деньги), настраиваю тунель с 804 с такой же прошивкой, который в другом городе, всё отлично, и тунель и инет все работает на обоих концах(на другом конце статик ип),
и всетаки Станислав, похоже не в прошивке дело, ведь работает, чтото не то на дфл-210, помогите
зы. у меня таких сетей куча(около 20), но попа только там где дфл-210, в нем причина, думаю

продолжение битвы:
ДИ-804 прошивка 1.44в11, настраиваю РРТР не работает, и сеть городская тоже не доступна, типа НАТ не работает, откатываюсь на 1.44в06 всё работает(кроме тунеля ipsec), и РРТР и городская сеть, ДФЛ-210 не трогаю, далее настраиваю по другому, теперь у тебя статик ИП говорю ему (ди-804) из диапазона городской сети, мииииилиаааа, пашет, видит сеть "коза", (это на прошивке 1.44в11) настраиваю на копьютере РРТР соединение к инету, мииииилиаааа, пашет( хотя ничего удивительного), ДОСТАЛО, И ТУНЕЛЬ ТОЖЕ РАБОТАЕТ, народ где грабли?

OFF TOP, друзья, смотрим формулу1, в воскресенье 15-45 на РЕНТВ, позиции на поуле:
Райкин, Масса, Алонсо, Хемильтон, и это в СПА, ЗРЕЛИЩЕ!!!!

Все, закрываем тему, все дело было в прошивке DI-804, саппорт прислал прошивку 2.00В10, все работает как часы, с первого раза, прошивка 1,44В11, для такой конфигурации не работает, а я пыхтел!!!!!! , впечатление от форума, "тихо сам с собою, левою рукою", спасибо за внимание.