Итак. продолжаю. Всё настроил. И VPN XP и DI804 и DI804 с DI804 объединил две точки. Вот с VPN между двумя точками есть интересная проблема. не могу разобраться. Итак - статус VPN статус ESP tunnel
IKE established, а вот Life Time заданный в пропосал 2800 начинает обратный отсчёт и когда время истекает туннель отключается. а мне постоянный нужен. поставил IKE Keep Alive
(Ping IP Address) на коробочках IP постоянно включенных серверов соответственно с той и стой стороны.
В логах
[192.168.1.0|193.178.34.180]-->[62.80.169.12|192.168.2.0]
Thursday June 12, 2008 19:07:11 IPSec tunnel keep alive : peer IP 192.168.2.100
Thursday June 12, 2008 19:07:11 [192.168.1.0|193.178.34.180]-->[62.80.169.12|192.168.2.0]
Thursday June 12, 2008 19:07:26 IPSec tunnel keep alive : peer IP 192.168.2.100
Thursday June 12, 2008 19:07:26 [192.168.1.0|193.178.34.180]-->[62.80.169.12|192.168.2.0]
Thursday June 12, 2008 19:07:40 IPSec tunnel keep alive : peer IP 192.168.2.100
Thursday June 12, 2008 19:07:40 [192.168.1.0|193.178.34.180]-->[62.80.169.12|192.168.2.0]
Thursday June 12, 2008 19:07:55 IPSec tunnel keep alive : peer IP 192.168.2.100

И т.д. Но не помагает.
Вопрос как заставить туннель работать постоянно?

тоннель невозможно заставить работать постоянно, в любом случае тоннель будет переустанавливаться, это особенности IPSec.

Ага. а как он будет переустанавливаться? у меня получается только рестартом одного из модемов. Вместо IKE established после истечения времени пишет established и всё. сети друг друга больше не видят. Не садить же человека что бы он DI804 рестартил ежечасно?

Какие версии прошивок на устройствах?

Самые последние. тока вчера с FTP стащил и перепрошил.

вы приведите версию прошивок и приведите выполненные настройки IPSec на обоих роутерах, включая IKE и IPSec proposal

прошивка D-Link_804HV_V1.50b08.BIN
Настройки один в один http://www.ixbt.com/comm/router-dlink-di-804hv.shtml
сети - одна сеть 195.168.1.0 и другая 195.168.2.0
Мог бы сделать скриншоты. но не нащёл как их выложить.
Вот лог что пишет после закрытия туннеля
Friday June 13, 2008 10:15:16 IKED re-TX : QINIT to 62.80.169.12

Friday June 13, 2008 10:15:26 IKED re-TX : QINIT to 62.80.169.12

Friday June 13, 2008 10:15:36 IKED re-TX : QINIT to 62.80.169.12

Friday June 13, 2008 10:15:56 IKED re-TX : QINIT to 62.80.169.12

Friday June 13, 2008 10:15:57 Send IKE (INFO) : delete [192.168.1.0|193.178.34.180]-->[62.80.169.12|192.168.2.0] phase 2

Friday June 13, 2008 10:15:57 IKE phase2 (IPSec SA) remove : 192.168.1.0 <-> 192.168.2.0

Friday June 13, 2008 10:15:57 inbound SPI = 0x4804bf34, outbound SPI = 0x0

Friday June 13, 2008 10:15:57 Send IKE Q1(QINIT) : 192.168.1.0 --> 192.168.2.0

Friday June 13, 2008 10:16:02 IKED re-TX : QINIT to 62.80.169.12

Friday June 13, 2008 10:16:07 IKED re-TX : QINIT to 62.80.169.12

Friday June 13, 2008 10:16:17 IKED re-TX : QINIT to 62.80.169.12

Friday June 13, 2008 10:16:27 IKED re-TX : QINIT to 62.80.169.12

Friday June 13, 2008 10:16:47 IKED re-TX : QINIT to 62.80.169.12

Friday June 13, 2008 10:16:48 Send IKE (INFO) : delete [192.168.1.0|193.178.34.180]-->[62.80.169.12|192.168.2.0] phase 2

Вы приведите свои настройки, можете просто указать тут параметры которые у вас указанны в строках. Без них я ничем не смогу вам помочь.

Вы приведите свои настройки, можете просто указать тут параметры которые у вас указанны в строках. Без них я ничем не смогу вам помочь.

Хорошо.
VPN - enable
NET bios - enable
Имя туннеля - 804
Метод - IKE
кнопку «More»
Local Subnet - 192.168.1.0
Local Netmask - 255.255.255.0
Remote Subnet - 192.168.2.0
Remote Netmask - 255.255.255.0
Remote Gateway - X.X.X.X
Preshare Key - **********
IKE Keep Alive - 192.168.2.100
Auto reconect - enable
Select IKE Proposal
Group1, 3DES, SHA1, 28800, sec
«Proposal ID» — «1» и нажимаю кнопку «Add to»
меню «Set IPSEC Proposal
DH group - none, ESP, 3DES, MD5, 3800 sec
Proposal ID» — «1» и нажимаю кнопку Add to

На другой коробочке всё так же кроме соответственно
Local Subnet - 192.168.2.0
Local Netmask - 255.255.255.0
Remote Subnet - 192.168.1.0
Remote Netmask - 255.255.255.0
Remote Gateway - Y.Y.Y.Y
IKE Keep Alive - 192.168.1.100
Вот и всё. бутаю коробочку туннель есть отсчёт времени идёт. время туннеля кончается. и всё. опять бутаю коробочку всё работает. так и держимся. может время максимально возможное поставить поставить?

Уберите keep alive

У меня такое было на старых версиях прошивок dfl-210 - di804(очень похоже - туннель отваливался через час), тогда помогло включение PFS.
viewtopic.php?t=46081&highlight=
Но на новых прошивках это не обязательно, у меня работает и без этого. Стоит попробовать сбросить у di-804 настройки по дефолту и настроить заново - иногда исчезают непонятные глюки.

IKE Keep Alive убрал. всё тоже самое. а вот второй совет - спасибо за ссылку. щас изучу. Прощивка свежайшая. заново перенастроить? ммм.. попробую но в крайнем случае. кручу удалённо.
PFS на 804 не нащёл. а вот агрессив моде щас включу.

PFS включается неявно в IPSEC proposal указанием DH группы, я тоже не сразу это понял. Но он грузит CPU, и в каком-то из мануалов dlinka его не рекомендуют использовать.

В IPSEC proposal поставил group1. ничего не помагает. всё одно соединение невосстанавливается