в филиале установлен DFL-210 прошивка 2.26.00.06-12653, сеть 192.168.1.0/24
Фиксированный IP на wan, доступ в интернет.

Необходимо филиал подключить к сети центрального офиса, где уставлен ISA 2004 чтобы можно было получить доступ к сетевым ресурсам локальной сети. Доступ к остальным ресурсам интернет оставить через местный канал.

когда был один компьютер всё отлично работало через VPN с WIN XP, но при подключении втрого компьютера с Win XP соединения начали подвисать, отключаться и потом не долго не подключаются. Вроде ни о каких ограничений по количеству VPN с одного IP я не слышал...?
При том если соединение устанавливается только с одно компьютера всё работает без проблем.

Решил не мучаться с этим и установить соединение PPTP с самого устройства.

Созданы в адресах на DFL-210:
сеть центрального офиса: main (192.168.0.0/24)
vpn_server: ( внешний IP ххх.ххх.ххх.2)

В PPTP/L2TP clients: vpn
Tunel Protocol : PPTP
Remote Endpoint : vpn_server
Remote Network: main
Advansed установлено: Automatic Route Creation
Route Metric: 90
MTU: 1456

IP Rules: lan_to_vpn
Action: Allow
Service: all_tcpudpicmp
Source Interface: lan
Source Network: lannet
Destination Interface: vpn
Destination Network: main

IP Rules: vpn_to_lan
Action: Allow
Service: all_tcpudpicmp
Source Interface: vpn
Source Network: main
Destination Interface: lan
Destination Network: lannet

Правила поставлены самыми первыми.
Dlink соединение устанавливает, получает IP адрес и адреса DNS центрального офиса, но никакой трафик с компютеров филиала в направлении центрального офиса не идёт, адреса в сети 192.168.0.0/24 не доступны.
хотя ping с устройства на адреса сети центрального офиса идёт.

В чём я ошибаюсь? Есть ли какие способы решения этой задачи, может попробовать Site-to-site?

объясните ИСЕ, что за ДФЛ есть еще какая-то сеть

Вполне возможно... посмотрю логи на ISA, тогда всё-таки получается что нужно делать site-to-site.

Да, спасибо Вы действительно правы, я пытался сделать неправильно.
В данном случае возможно только как site-to-site.
Вот к сожалению так у меня вообще не получилось установить соединение. Оно устанавливается и рвётся в частности с PPTP вот так со стороны маршрутизатора (снизу вверх)

2010-02-05
17:37:05 Notice PPTP
2700022


pptp_tunnel_closed

iface=vpn remotegw=xxx.xxx.xxx.2
2010-02-05
17:37:05 Notice PPTP
2700008


pptp_session_closed

iface=vpn remotegw=xxx.xxx.xxx.2 callid=0
2010-02-05
17:36:28 Warning PPTP
2700013


pptp_session_up

callid=0 iface=vpn remotegw=xxx.xxx.xxx.2 auth=MS-CHAPv2 mppe=Stateless_RC4-128
2010-02-05
17:36:28 Notice PPTP
2700009


pptp_session_request

remotegw=xxx.xxx.xxx.2
2010-02-05
17:36:28 Notice PPTP
2700021


pptp_tunnel_up

iface=vpn remotegw=xxx.xxx.xxx.2
2010-02-05
17:36:28 Notice PPTP
2700018


pptpclient_connected

iface=vpn remotegw=xxx.xxx.xxx.2
2010-02-05
17:36:28 Notice PPTP
2700017


pptpclient_start

Со стороны ISA

Event Type: Error
Event Source: RemoteAccess
Event Category: None
Event ID: 20050
Date: 05.02.2010
Time: 17:22:09
User: N/A
Computer: SERVER02
Description:
The user DOMAIN\vpn connected to port VPN6-32 has been disconnected because no network protocols were successfully negotiated.

с L2TP и IPSEc тоже ничего не получилось, только ошибки скорее всего другие были, PPTP уж самое простейшее должно же заработать?

для меня проще настроить ipsec, тем более есть фак по Ipsec

PPTP проще и меньше шансов накосячить, хотя как оказалось не всё так просто.
Ладно попробую ещё раз с IPSec поковыряться. По IPSec находил пару инструкций, бросьте, пожалуйста ссылку на фак, может я этот ещё не видел и что-то упустил по предыдущей настройке.

Продолжение следует....
Сделал IPSec - при попытке установить соединение из-за D-link`a, из сети филиала не работает:

2010-02-10
15:23:05 Info IPSEC
1800317


peer_is_dead
IPsec_tunnel_disabled
peer=xxx.xxx.xxx.2
2010-02-10
15:23:05 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xf464dcde, AH=0x5d1ef2be Responder SPI "
2010-02-10
15:23:05 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="Timeout" local_peer="127.0.0.1 ID xxx.xxx.xxx.6" remote_peer="xxx.xxx.xxx.2 ID No Id" initiator_spi="ESP=0xf464dcde, AH=0x5d1ef2be"
2010-02-10
15:23:05 Warning IPSEC
1802715


event_on_ike_sa

side=Initiator msg="failed" int_severity=6

Но неожиданно если попытаться обратится в сеть филиала из сети центрального офиса, из-за ISA появляются ошибки, но соединение устанавливается и идёт трафик в обоих направлениях.