Настроил два Dlink DFL-210 по инструкции http://www.dlink.ru/ru/faq/85/575.html.

С основным каналом проблем нет.
Но в первый же раз при отказе основного канала выяснилось что backup канал не сработал.

При анализе выяснилось, что в основном офисе все сработало нормально, а вот в филиале не поменялись маршруты.

Т.е. в Статус -> Маршруты
в основном офисе:
M X 192.168.2.0/24 IPSec1_main_tunel 60
M 192.168.2.0/24 IPSec1_backup_tunel 70

в филиале:
M 192.168.0.0/24 IPSec1_main_tunel 60
M 192.168.0.0/24 IPSec1_backup_tunel 70

Прошивки одинаковые 2.26.00.06-12653.

После того как временно в филиале заблокировал первый маршрут все заработало.

В чем может быть дело?

а филиале тоже отвалился основной интернет-канал после пропадания в основном офисе ?

По сути канал отвалился в филиале, в главном офисе все было ок.
Т.е. у провайдера промежуточный узел (через который подключен филиал) отвалился, но линк на wan был.

Если я не ошибаюсь, он перекидывает не по состоянию wan а именно по состоянию IPSec.
Т.е. если есть связь по основному тунелю, то трафик заворачивается в него, если нет то на резервный тунель. Поправьте если ошибаюсь...

мониторинг настроили ?

Мониторинг естественно был, судя по "М" около маршрутов.

Только вот надо - ICMP мониторинг для IPsec + правила PBR на обработку по альтернативной таблице с маршрутом на туннель

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

зачем мониторить все маршруты ?

Если не затруднит подскажите, пожалуйста, как это сделать.

Маршруты все прописаны в main, железки занимаются только тунелем, внутренние ip адреса у обоих 192.168.x.3

Бекапный канал тоже неполохо отслеживать на живучесть, хотя при лимитированном трафике это конечно не айс.


Приведенные действия надо выполнить на обоих DFLях
1. Делаете для каждого туннеля отдельную таблицу маршрутизации и добавляете туда единственный дефолтный (для простоты) маршрут на соответствующий туннель
2. Добавляете правило PBR
Forwarding table: main, return table: <альт.таблица туннеля>, <туннель>/all-nets -> any/all-nets
3. Делаете правило на удаленном DFL allow <туннель>/<ваш DFL> core/lan_ip ping
4. Включаете мониторинг маршрута на туннель при помощи пингов до удаленного DFL и выключаете все остальные виды мониторинга.
Как итог - все входящие пакеты из туннеля у вас обрабатываются вне зависимости от мониторинга - ибо в другой таблице маршрутизации. Это позволит поднять маршрут при возвращении туннеля. А мониторинг позволит не пускать в туннель трафик при падении.

Относительным минусом (это зависит не от DFL или реализации, просто сети так работают) является то, что даже когда у вас основной канал вернется, существующие длинные коннекты (например, RDP) будут продолжать идти по ранее установленному (резервному) каналу. Переключить прозрачно на 3 уровне их нельзя.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

admin05

все получилось реализовать? у меня подобная задача.

Здравствуйте,

объясните пожалуйста почему так надо делать? Я проверил, что да, без этого не работает, но не пойму почему без этого не работает?

Приведенные действия надо выполнить на обоих DFLях
1. Делаете для каждого туннеля отдельную таблицу маршрутизации и добавляете туда единственный дефолтный (для простоты) маршрут на соответствующий туннель
2. Добавляете правило PBR
Forwarding table: main, return table: <альт.таблица туннеля>, <туннель>/all-nets -> any/all-nets
3. Делаете правило на удаленном DFL allow <туннель>/<ваш DFL> core/lan_ip ping
4. Включаете мониторинг маршрута на туннель при помощи пингов до удаленного DFL и выключаете все остальные виды мониторинга.
Как итог - все входящие пакеты из туннеля у вас обрабатываются вне зависимости от мониторинга - ибо в другой таблице маршрутизации. Это позволит поднять маршрут при возвращении туннеля. А мониторинг позволит не пускать в туннель трафик при падении.

Относительным минусом (это зависит не от DFL или реализации, просто сети так работают) является то, что даже когда у вас основной канал вернется, существующие длинные коннекты (например, RDP) будут продолжать идти по ранее установленному (резервному) каналу. Переключить прозрачно на 3 уровне их нельзя.

+++++++++++++++++++++++++++++++++

и ещё - я правильно понимаю, что вот это https://www.dlink.ru/ru/faq/331/1724.html - тоже самое, но более конкретно, указаны настройки, а у danilova общий вариант?
со слов -
Для обработки входящего трафика мониторинга от DFL-260E, необходимо создать альтернативную таблицу маршрутизации и правило маршрутизации. Это необходимо для обработки входящего трафика если VPN тоннель tun1 уже установлен, но система мониторинга еще не включила маршрут. В этом случае возможна не корректная работа резервирования и данные действия позволят избежать подобной ситуации.

_________________
понял настроил забыл