заходите на radikal.ru и постите картинку. в чем проблемы?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо, YuriAM

Итак, цель чтобы при падении канала между допофисами связь между ними шла через центральный офис.
IS1 - главный офис
IS2 - Допофис2
На скринах настройки допофиса IS3






После настройки и сохранения параметров:
1. маршрут до допофиса помечается как нерабочий, хотя это не так.
2. связи между допофисами через главный офис отсутствует
3. Если вообще отключить интерфейсы связи между допофисами, то связь между ними прекрасно работает через главный офис, что говорит о том, что такой вид связи настроен праильно.

Очень важно, что вы мониторите IPsec. Там несколько другая техника - все входящие из IPsec надо обрабатывать вне зависимости от мониторинга, иначе DFL просто не будет отвечать и ничего не поднимется

1. Уберите мониторинг по состоянию канала. Только пинг

2. Routing > Routing tables
Добавьте таблицу alt_IS3, ordering = only
Добавьте в нее маршрут IS3 all-nets 100 (без мониторинга)

3. Routing > Routing rules
Добавьте правило
IS3/all-nets any/all-nets, forward main, return alt_IS3

4. Rules > IP rules
Добавьте разрешающее правило
Allow IS3/IS3_net core/lan_ip ping_inbound

К слову, параметры мониторинга у вас очень жесткие. На время настройки вернитесь лучше к стандартным

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

wannet - как выглядит? По таблице роутинга там бред полный

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Как выглядит wannet видно из скрина
Его да, надо пересчитать в CIDR

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо!
Всё настроил.
Всё работает прекрасно до первого падения канала меду допофисами.
При падении канала маршруты в обоих допофисах често помечаются Х-ом.
При этом работает звязт между допофисами через головной офис.
После восстановления канала Х убирается только на маршуте у ОДНОГО из допофисов (зависимость почему именно у какого-то одного выловить не удалось несколько раз Х убирался у одного, несколько раз у другого допофиса) у второго допофиса маршрут остается помеченым Х-ом и связь продолжает идти через главный офис

Таблицы маршрутизации после восстановления канала:



Настройки:
IS3:




IS2:

Исправьте таки wannet - там должна быть не маска подсети, а подсеть в формате CIDR. Пересчитайте на http://www.subnet-calculator.com/

На той стороне - убрали мониторинг состоянием?

Пинги в Status > Connections из IPsec видите?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

wannet - исправил на всех устройствах
мониторинг с обоих допофисов только пингом

IS2
Таблица main после обрыва-восстановления канала между допофисами


Таблица alt


Настройка мониторинга


Status > Connections :


IS3
Таблица main после обрыва-восстановления канала между допофисами


Таблица alt


Настройка мониторинга


Status > Connections :

111 - это адреса DFL?
Что у вас в Status > IPsec на SA2 - есть ли SA на туннель, есть ли вообще (list all SAs)?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

111 - это Lan_IP DFL
Status > IPsec
Все тунели есть
На IS2:
IS2 - IS1
IS2 - IS3

На IS3:
IS3 - IS1
IS3 - IS2

На IS1:
IS1 - IS2
IS1 - IS3

Могу вечером скрины выложить, но там будет тоже самое что и на последнем скрине шестого поста этой страницы

Статусы после падение-восстановления каналов между допофисами:

IS2 Status-IPSec


IS3 Status-IPSec

Это значит что сами туннели поднимаются
Проверьте на том DFL, к которому не поднимается канал, приходят ли пакеты из IPsec? Правило разрешающее точно корректное? Нет дропов ICMP в логах?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

В том то и дело, что тунели подняты.
Правило корректно, т.к. при отсутствия мониторинга пинги спокойно ходят.