есть два di-808, с одной стороны в офисе1 он подключен к инет через точка.ру через static ip в wan подключен adsl modem, с другой в офисе2 через ppoe с статическим ip.
пытаюсь поднять vpn, в офисе1 local: 192.168.1.0 , 255.255.255.0, remote: 192.168.0.0 , 255.255.255.0, ip wan di-808 офиса2
в офисе2 local: 192.168.0.0 , 255.255.255.0, remote: 192.168.1.0 , 255.255.255.0, ip wan di-808 офиса1
включаю, ping нет, в VPN status на di-808 офиса 2 написано:
Remote Network/IP Address/Subnet Mask/Gateway - 192.168.1.0/255.255.255.0/ip адрес wan di-808 офиса1
Local Network/IP Address/Subnet Mask - 192.168.0.0/255.255.255.0
Type - ESP tunnel
State - IKE established
Life Time - число и уменьшается...

где что неправильно ?

Какие прошивки на устройствах? полные настройки приведите.

прошивки 150b2

настраивал в соответсвии с http://www.d-link.ru/technical/faq_vpn_8.php

в офисе1 lan ip 192.168.1.111 255.255.255.0 wan ip 60.158.16.118 255.255.255.252 gate 60.158.16.117
dhcp выключен, ip на всех машинах в локалке прописан вручную
настройка vpn включен, 2 тоннеля, метод IKE, local: 192.168.1.0 , 255.255.255.0, remote: 192.168.0.0 , 255.255.255.0, 70.68.247.118
IKE Keep Alive 192.168.0.1

в офисе2 lan ip 192.168.0.1 255.255.255.0 wan ip получется автоматом путем ppoe 70.68.247.118 255.255.255.255 gate 70.68.247.118
dhcp выключен, ip на всех машинах в локалке прописан вручную
настройка vpn включен, 2 тоннеля, метод IKE, local: 192.168.0.0 , 255.255.255.0, remote: 192.168.1.0 , 255.255.255.0, 60.158.16.118
IKE Keep Alive 192.168.1.111


IKE Proposal и IPSec Proposal вбил все точно как написано в описании по установке, ссылка выше...

в VPN status на di-808 обоих офисов написано:
Remote Network/IP Address/Subnet Mask/Gateway - 192.168.1.0/255.255.255.0/ip адрес wan di-808 протифоположного офиса
Local Network/IP Address/Subnet Mask - 192.168.0.0/255.255.255.0
Type - ESP tunnel
State - IKE established
Life Time - число и уменьшается...

Если есть возможность предоставьте мне удаленный доступ к устройствам, посмотрю вашу конфигурацию, реквизиты доступа моете отправить в личку.

возможности сейчас нет, спросите я так напишу...
с di-808 ничего больше не настраивали, включил в розетку, прошил прошивку, настроил пароль, lan, wan, vpn, все.

IKE Proposal index - 1, id - 1, Proposal Name - 1, DH Group - Group 2, Encrypt algorithm - 3DES, Auth algorithm - MD5, Life Time - 86400, Life Time Unit - Sec.

IPSec Proposal index - 1, id - 1, Proposal Name - 1, DH Group - Group 2, Encap protocol - ESP, Encrypt algorithm - 3DES, Auth algorithm - MD5, Life Time - 28800, Life Time Unit - Sec.

В IKE Proposal уменьшите life time 28800
в IPSec proposal life time 3600.

в общих настройках, убедитесь что у вас стоит колличество тоонелей на 1 больше чем используется, так же функция NAT Traversal должна быть отключена.

все изменил, NAT Traversal отключена, тунелей стоит 2. Как я понимаю используется 1 тунель между этими двумя di-808.

В статусе в окне обоих устройств vpn status также пишет что тунель на обоих di-808, но при попытке из 192.168.0.117 пропинговать 192.168.1.1 пишет превышен интервал ожидания, хотя если тунель был выключен, то он его устанавливает если смотреть в окно статуса...

в логе пишет следующее
Tuesday April 22, 2008 12:08:52 IPSec tunnel keep alive : peer IP 192.168.1.111
Tuesday April 22, 2008 12:08:52 [192.168.0.0|70.68.247.118]-->[60.158.16.118|192.168.1.0]

Добавление:

в удаленной сети есть 2 машины под ХР на них прописан только ip и mask, остальные под 98, на двух машинах в свойствах tcp/ip прописан ip, mask, gate, dns, а на остальных машинах только ip и mask
получилось пропинговать 2 машины где прописаны ip, mask, gate, dns и пингуется лан адрес удаленного di-808...
Соответсвенно вопрос, что должно быть прописано на удаленных машинах кроме ип и маски подсети?
и второе зайти на удаленные машины не выходит, ни на те где всё прописано, ни на те где только ип и маска, хотя на всех открыты папки и на одной под ХР стоит www сервер для внутренней сети... как исправить?

Keep alive тоже отключите. Шлюзом на всех компьютерах должен стоять DI.

отключить путем стирания ип и оставления поля пустым? сделал...

все равно не заходит на машину где все прописано... пингует, но не заходит

Если пингует, то трафик ходит, возможно настройки безопастности той машины таковы.

нету там никаких настроек, там вин98 и на нем расшарены папки и принтер... внутри сетки все везде заходит

а на di-808 ничего не нужно настравить по этому поводу?

Нет разве что попробуйте уменьшить МТU на самих компьютерах.

а как это сделать в вин98 и в винхр? в настройках tcp/ip такого вроде нет... и до скольки уменьшить?
пинг из одной сети в другую около 20мс...

До 1400, как уменьшить MTU на win 98 вам никто не подскажет, эта ОС уже никем не поддерживается, на win XP используйте сторониие программы, например TCPoptimazer.

а еще кстати на удаленный di-808 заходит как через wan ip так и через lan ip, а на удаленные ПК не заходит, но пингует... завтра буду пробовать уменьшить MTU...