Понимаю, что вопрос крайне простой, но уже несколько дней не могу заставить работать такую связку:
В офисе 1:
ADSL-модем Zyxel 945R (c отключенным NAT и портмаппингом на 500 и 1723) \WAN: 20.1.1.1, LAN: 192.168.1.1\
- DI-804HV \WAN:192.168.1.2, LAN: 192.168.2.1\, выделен в DMZ 192.168.2.2
- ПК с двумя сет.картами и установленным Kerio Winrout Firewall \WAN: 192.168.2.2, LAN: 192.168.0.3\ в Керио в правилах прописаны разрешения всего и всем по протоколам IPsec

В офисе 2:
кабельный модем Моторолла c RJ-45
- DI-804HV \WAN:15.1.1.1, LAN: 192.168.4.1\, выделен в DMZ 192.168.4.2
- ПК с LAN: 192.168.4.2

Настройку делал в точности как написано в FAQ на этом сайте: http://www.dlink.ru/technical/faq_vpn_8.php
С офиса 2 пингую на 20.1.1.1 - результат положительный.
И все. Больше ничего добиться не могу. В меню Status-VPN status: Establishing,
в логе:
Tuesday December 11, 2007 09:45:12 IKED re-TX : INIT to 20.1.1.1

Tuesday December 11, 2007 09:45:43 Send IKE (INFO) : delete 15.1.1.1 -> 20.1.1.1 phase 1
Tuesday December 11, 2007 09:45:43 IKE phase1 (ISAKMP SA) remove : 15.1.1.1 <-> 20.1.1.1
Tuesday December 11, 2007 09:45:43 Send IKE M1(INIT) : 15.1.1.1 --> 20.1.1.1


Подскажите, пожалуйста, что мне может помочь.

Не вогу понять зачем Вам DMZ и при чем тут вообще Kerio

С помощью DMZ в офисе 1 удалось решить проблему с LowID в Emule, потом только понял, что можно было открыть порты в Виртуальном сервере, но я надеюсь, что это не мешает работе ВПН. А Керио стоит в Офисе 1 для раздачи Интернета (прокси) на той же машине, которая подключена к АДСЛ-модему, после которого подключен DI-804HV.
Кстати, сейчас наконец-то нашел вменяемого человека у провайдера Офиса 2: оказывается IP, который записан у меня в карточке клиента как статический, не есть реальный, а стоит за НАТом в локальной сети провайдера. Реальный IP мне дадут завтра.
Можно ли реализовывать ВПН с нереальным IP, птичка в "IPSec NAT Traversal" у меня стоит с обоих сторон. Это ведь та птичка, которая позволяет работать ВПН при наличии НАТа на пути у ВПН??

Спасибо за ответ.

Если на одном конце у Вас "нереальный" ip-адрес, то на другом Вам надо настраивать Dynamic IPSec

Получил реальный ИП, и сразу получил положительный результат, но сумел только раз по-пинговать адрес внутренней сети Офиса1 из Офиса2. После этого в логах DI-804HV в Офисе1 увидел сообщение о том, что один ВПН тунель уже используется, а второй запрещен настройками (так и есть, мне был нужен только один). Но в Статусе ВПН написано , что он Idle. Как это?

На вкладке Home->VPN поставьте количество туннелей VPN в "2"

Спасибо за ответ.
Так и сделал.
Но помогло только отключение питания у роутера в Офисе1 (я и раньше замечал за ним странности: после перепрошивки (1.50) он не отображает изменение настроек, к примеру IP адреса на вкладке LAN, в разделе Status-Device Information после рестарта при нажатии кнопки Apply показывает предыдущее значение, и при этом не помогает софт-перезагрузка, нужно именно выдернуть питание.

Подскажите, пожалуйста, как заставить работать "Подключение к удаленному рабочему столу Windows" из Офиса2, при установленном ВПН, для подключения на терминальный сервер, который стоит за машиной с Керио и с статичным IP:192.168.0.10. Дело в том, что у ВПН роутера \WAN:192.168.1.2, LAN: 192.168.2.1\.

Может мне нужно переставить его так, чтоб он был за машиной с прокси (Керио) и уже в локальной сети 192.168.0.0, а в Керио сделать портмаппинг 500 и 1723?