Здравствуйте коллеги!

Есть удаленная площадка, на ней DFL-210 ( сеть 192.168.3.0/24 ). На основной площадке FreeBSD, поднят тоннель, там же находится RADIUS сервер ( сеть 192.168.0.0/24 ).
Суть проблемы - если в настройках авторизации PPTP-сервера на 210 я прописываю в качестве external database сервер 192.168.0.26, то в ответ получаю отсутствие авторизации. Ну что в общем то логично, потому что авторизация выполняется раньше, чем срабатывают все правила в IPSec. Вопрос - как всё таки заставить такую авторизацию работать, кроме как варианта обращаться к 192.168.0.26 по внешнему адресу ?

У Вас постоянный туннель IPSec до центра? Если нет, то что мешает сделать постоянный?

Постоянный тоннель. Но при указании RADIUS 192.168.0.26, при попытке подключения, в логах DFL-210 появляется ошибка, что неправильная авторизация, и клиент соответственно не может подсоединиться. В логах 192.168.0.26 вообще не наблюдается попыток авторизоваться кем либо у него. То что настройки на обеих сторонах правильные ( разрешения, пароли и т.п. ) я не сомневаюсь, потому что много раз проверял.

Если туннель рабочий, через него должно всё ходить без проблем. Проверьте правила! И убедитесь, что на Radius-сервере разрешено обслуживание данного интерфейса и данного клиента (у MS нужно явно добавлять клиента, про FreeBSD не знаю), пароль правильный и пр. IPSEC, скорее всего, ни при чем.
Если есть возможность -- поставьте на время DFL (эту или другую) рядом с Radius, соедините Ethernet-шнурком и настройте в таком варианте, чтобы отсечь проблемы с самим Radius'ом от сетевых.