завтра предстоит, вот решил спросить
туннель 1: wan1_dfl-800 --- wan_dfl-210
туннель 2: wan1_dfl-800 --- dmz_dfl-210
в режиме fail over - если один падает, второй автоматически подымается (до этого второй не нужен), возможно такое?
ну и на dfl-210 wan и dmz тоже в мониторинге, dmz - резерв, wan - основное подключение
в факе несколько другой вариант рассмотрен
wan1---wan1
wan2---wan2

DMZ легко превращается в WAN2, это не проблема

Однако то FAQ не будет работать, я недавно писал уже как именно надо настраивать, попробуйте поищите...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

ну ништяк, спасибо шо сказали (может фак пора поправить кому-нибудь:))
можно если не ссылочку, то хоть ключевые слова на тему, не могу найти

Тоже не нашел

Смысл таков. Вам понадобятся 2 статических адреса или чтобы динамические адреса не пересекались - роутингом надо будет добиться того, чтобы wan1 коннектились только между собой, а wan2 - только между собой.

1) Interfaces > IPsec
Настраиваем 2 IPsec туннеля по http://dlink.ru/ru/faq/85/575.html
Отключаем NAT-T (особенно если у вас адреса белые), DPD, keep alive, автосоздание маршрутов

2) Interfaces > Interface groups
Делам группу (например ipsec) из двух туннелей

3) Rules > IP rules
Делаем правила
Allow lan/lannet ipsec/remotenet all_services
Allow ipsec/remotenet lan/lannet all_services
Allow ipsec/remotenet core/lan_ip all_icmp

4) В Routing > Routing tables для каждого IPsec туннеля делаем отдельную таблицу маршрутизации, где делаем единственный маршрут для all-nets на туннель без мониторинга, шлюза и с любой (например 100) метрикой - получается 2 дополнительные таблицы маршрутизации

5) Routing > Routing rules
Делаем правила для каждого туннеля вида <ipsec интерфейс>/all-nets any/all-nets, forward main, return <альтернативная таблица для туннеля>

Аналогичные пп.4-5 действия надо выполнить и для интерфейсов wan1, wan2

Этим мы добились, что пакеты из туннеля/интерфейса будут обрабатываться даже тогда, когда маршрут на него не активен (важно для восстановления туннеля и работы wan2)

6) Routing > Routing tables > main
Создаем два маршрута (например с метриками 90 и 91 - важно чтобы он был приоритетнее, чем маршрут на all-nets) на туннели. Более приоритетной метрикой вы выставляете тот тоннель, который будет основным. Включите host monitoring (только его!) и на вкладке Monitored hosts добавьте LAN-адрес удаленного DFL.

Если все сделано верно и нет подводных камней существующей конфигурации, то все заведется.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

у меня получается со стороны dfl-800 оба туннеля будут на wan1, это критично?

Да, так работать не будет. Надо именно wan-на-wan. Или же делайте динамический IPsec.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

а почему нельзя сделать полностью по аналогии с резервированием по wan (wan1 меньше метрика и мониторим)
так же прописать в main два маршрута ipsec на удаленную сеть, выставить метрики, мониторинг, или я чего то недогоняю?

Один WAN на одном из DFL нельзя использовать потому что не будет работать конфигурация, когда с одной стороны 2 интерфейса, а с другой один - в этом случае на одном из DFL будет 2 IPsec с одинаковым remote endpoint, что поломает все

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

нет, что то тут неправильно
должен же быть выход, динамический не хочу
а возможно ли в настройках туннеля настроить резерв, например подменять ендпоинт, в зависимости от доступности хоста
в PPPoE можно же присваивать получаемый IP, определенному объекту из интерфейсов, почему бы и тут, ендпоинт не поставить в определенную логическую зависимость, а не городить кучу туннелей, альтернативных таблиц, и сложную логику (и то получается по принципу труб, одна отрубается, включается другая, а по уму должно быть с любого интерфейса на любой), конечно и здесь непросто, потому что надо чтобы с двух концов это все отрабатывало

я щас на одном конце заместо ендпоинт прописал группу адресов, туннель поднялся
у меня правда отдельный маршрут в маин на ендпоинт стоит, но еще один нарисую на ругой интерфейс, этот замониторю, как такой вариант?

поподробней, в каком месте логика не будет работать, не понимаю (да и как работает тоже не везде понимаю), но тут хочу разобраться, а то получается конкретный минус в возможностях dfl

пока решил, протянуть к dmz dfl-800 третьим подключением того же провайдера что и к dmz dfl-210

давайте изобразим таблицы - рабочую и мой вариант, так виднее будет

Я пробовал решить эту проблему много раз, но ощутимого стабильного результата не добился. Только динамические тоннели, но они себя не очень хорошо ведут при проблемах со связью.

Последний раз, когда вылезла аналогиная проблема, ее решили дополнительным белым адресом со стороны DFL с одним интерфейсом - так работает хорошо.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

в общем, работает ipsec failover! я прям прыгал по кабинету на глазах клиентов
офис1 - dfl-800 (failover не нать, там на всех ванах один провайдер, просто wan1 - безлимит, wan2 - скоростной под туннель)
офис2 - dfl-210, wan - один пров (основной), dmz - резерв под инет и туннель, в общем надо ipsec резервировать следующи образом
wan1_dfl-800 --- wan_dfl-210 - основной
wan1_dfl-800 --- dmz_dfl-210 - резервный
и вот прописал в настройках ipsec на dfl-800, заместо енд поинт, группу адресов (wan_dfl-210, dmz_dfl-210), ну маршруты к ним через wan2
на 210-м wan замониторен (смотрит в том числе по пингу на wan2_dfl-800), dmz - как резерв
думал ниче не заработает, щас придется переделывать
а оно возьми и заработай!
проверял два раза, все вроде ништяк, при отрубе основного канала переключается мнгновенно, для пользователей незаметно, обратно с резерва (при восстановлении wan) подрубается с задержкой в несколько пингов, терминалка подвисает, потом размораживается, но все равно - я прям горд собой

хотя наверно лисапед придумал

Если на 210м вы не настраивали одновременную доступность обоих WAN, то по идее да, может и работать.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

да, на 210 постоянно используется wan, dmz в резерве
и самое-то прикольное, что канал получается один, и таблиц, и рулезов не надо

Ну, похоже это является обязательным условием такой конфигурации. А маршрут на тоннель у вас добавляется динамически со стороны 800го или статический? В Status > IPsec > List active SAs нет левых SA?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc