У меня построен ipsec тунель используя DI-804HV c обоих концов тоннеля. Все работает нормально.
Теперь с одной из сторон тунеля появилась еще одна подсеть и необходимость обеспечивать к ней доступ с второй стороны. Я полностью повторил настройки первого тунеля, изменив только локальную подсеть с одной стороны и удаленную подсеть другой стороны. Первый туннель по прежнему устанавливается без проблем, а вот второй - нет, остается в положении establishing.
Прошивка обоих DI-804 - 1.44b11.
Возможно ли решить как-то эту проблему, или мне нужна замена оборудования ?
Если необходима дополнительная информация, я готов ее предоставить.

такое не возможно. Устройство не может организовывать два туннеля с одной и той же точкой. В вашем случае есть один вариант это супернеттирование, т.е. предположим, что сети были
192.168.0.0\24 и 192.168.2.0\24, со стороны 2.0 прибавилась 3.0тогда вместо привынчных 192.168.2.0\24 нужно указать 192.168.2.0\23 это будет включать в себя две сети. Теперь нужно прописать маршрут к сети 3.0 в роутинг тейббл

Можете поставить вместо DI-804 файрволл DFL-210. Он сможет поднять 2 туннеля.

Либо настроить на одном из DI-804 PPTP сервер. 2 других офиса будут к нему цепляться как клиенты.

Юрий, не так работать не будет. Нужно ставить с обоих сторон 210

А можно я продолжу тему близким вопросом...
Дело в том, что у меня такая же схема (два 804-ых, образующих IPSEC туннель через "большой" интернет между двумя локальными сетками. Тут возникло желание подцепить к этим двум сеткам третью.
Увы включить новую сеть в состав старой (проведя "супернеттирование") я по ряду конструктивных причин не могу (они конструктивно в разных местах). Поэтому третью сеть я подключил неким кривым способом к "Большому" интернету и теперь думаю, как же и для этой третьей сети поднять туннель на один из моих двух 804-ых.
Решение было бы очевидным, будь у этой третьей сетки нормальный выход в интернет (с внешним IP и открытыми портами), как это имеет место у двух первых сеток. Так нет, там удалось получить у местного посредника в бизнес-центре только один внутренний IP (с их NAT-а), на который увы даже никакой port-mapping c их шлюза не добиться...

Вопрос: какую железку мне купить и какой способ настройки избрать, чтобы из третьей сети (через такое кривое провайдерско-NAT'ное) соединение с интернетом поднять-таки нечто вроде туннеля для обеспечения взаимной видимости первой и третьей сетки по локальным их адресам ? Я так понимаю, что такая железка должна уметь по своей инициативе поднимать соединение с одним из моих 804-ых, т.к. по их инициативе это не возможно (из-за отсутствия внешнего IP). Кто что посоветует, чтобы оно работало надёжно и без каждодневного участия знающего админа в третьей сетке (там одни чайники).

Попробуйте использовать Dynamic IPSEC. На том DI-804HV который у провайдера без внешнего ip-адреса настройте обычный IPSec до первой сети, а в DI-804HV первой сети настройте второй туннель как Dynamic IPSec.

Не понимаю почему. Можете пояснить?

Конечно.
DI-804HV не может поднимать больше двух соединений к одному пиру и испоьзовать несколько сетей при устновке соединения для построения таблицы маршрутизации и SPD. Т.е. если автор статьи поставит на одну из сторон DFL-210, то он конечно создаст туннель к _группе_ адресов, но пр иустановке туннеля он не пройдет вторую фазу с DI-804 потому что сети не совпадут.
Есть конечно вариант с использованием DFL-210, но это "костыль" и я его автору не рекомендую это подмена в пакете от "не родной" сети не только DST_IP но и SRC_IP, тогда пакет попадёт под SPD, но в этом случае общение будет _односторонним_

Станислав. Если использовать DFL на два соединения в 804-ми, то DFL все разрулит с маршрутами. А у каждого из 804-х надо будет прописать статический маршрут до удаленной офисной сети, которую маршрутизатор DI-804HV не может видеть непосредственно.

Юрий, давайте ещё раз -- DI не умеет поднимать ДВА соединения к одному и тому же пиру. Будет использована одна и та же SA, отсюда возникнет ошибка. Вы все верно говорите, и если бы 8xx поддерживали больше одного соединения с пирами, то я бы не советовал менять оборудование.

То ли я туплю, то ли мы не понимаем друг друга.

У человека 2 офиса и 2 DI-804. Появляется 3-й офис. Я предлагаю купить один DFL-210 и поставить их цепочкой:
(DI-804) - инет - (DFL-210) - инет - (DI-804).

Таким образом, каждый из DI-804 держит по одному соединению, а DFL-210 держит 2 соединения. Образуется связанная топология и прохождение пакетов из одной сети в другую лишь вопрос правильно настроенной маршрутизации.

Если бы строилась топология треугольник вместо цепочки, тогда каждому маршрутизатору пришлось держать по 2 соединения (c каждым из двух других офисов) и следовательно, 804-е бы не подошли.

И совсем другой вопрос, будет ли это PPTP или IPSec.

Еще одна подсеть появилась локально в пределах офиса или удаленно, и к ней надо доступаться через интернет?

Верно подмечено, но получается вот так:


Отсюда и проблемы, при соединении обычной звезды конечно же проблем не будет.