извиняюсь за задержку
в схеме задействованы два дфл и коммутатор, адреса портов коммутатора изображают шлюзы внешних интерфейсов дфл
коммутатор настроен таким образом, что с ванов дфл можно пинговать любой порт коммутатора (и соответственно wan интерфейсы dfl пингуют друг друга в любых направлениях) - типа интернет (но простой свич поставить нельзя, будет петля)
ip адреса на портах коммутатора мы использовали для облегчения понимания схемы, ну и для мониторинга тоже (но думаю можно обойтись и без них , если в реале схема без шлюзов)
настройки дфл симметричны, кроме одного момента (об этом в конце), например настраиваем верхний - dfl1
для него:
wan1 - 1.1.1.10
wan1 - 2.2.2.20
нам понадобятся 4 ipsec туннеля, для каждого укажем local и remote endpoint
№ local remote name
----------------------------------
1 wan1 3.3.3.30 ipsec1
2 wan2 4.4.4.40 ipsec2
3 wan1 4.4.4.40 ipsecCross1
4 wan2 3.3.3.30 ipsecCross2
галки добавления маршрута в таблицу и динамического маршрута везде отключены, ключ везде один
т.е. схема делается на основе англоязычного howto, на который в начале я дал ссылку, первые два туннеля есть в англоязычном руководстве, они прямые, вторые два перекрестные - это мы их добавили
в howto однозначность установления туннелей через нужные интерфейсы (wan1---wan1, wan2---wan2) обеспечивается двумя дополнительными маршрутами, у нас ipsec туннелей 4, соответственно и маршрутов 4, по два на каждом интерфейсе, и с мониторингом на одном из пары
M NET IF GW Metr
-----------------------------------
M 3.3.3.30 wan1 1.1.1.1 90
-- 3.3.3.30 wan2 2.2.2.2 100
M 4.4.4.40 wan2 2.2.2.2 90
-- 4.4.4.40 wan1 2.2.2.2 100
добавим маршруты для доступа к удаленной сети (для dfl1 это 192.168.2.0/24 ), их тоже 4 шт
M NET IF Metr
------------------------------------
M 192.168.2.0/24 ipsec1 90
M 192.168.2.0/24 ipsec2 100
M 192.168.2.0/24 ipsecCross1 110
M 192.168.2.0/24 ipsecCross2 120
все маршруты с мониторингом, т.е. мы однозначно указываем dfl в какой последовательности использовать туннели для доступа к удаленной сети
теперь очень важный момент
это то зерно, которое мы взяли из второй ссылки, это к вопросу - как мониторить ipsec, этот вариант нам больше всего понравился, потому как самый однозначный
в настройках ipsec, вкладка advansed, самый нижний пункт - IP Address
т.е. когда туннель поднят, он будет пинговаться на этот адрес
каждому ipsec присваиваем произвольный (из своей локальной сети) IP, т.к. мы разбираем настройку dfl1 то мониторить мы будем адреса удаленной для него сети, т.е. IP присвоенные туннелям на дфл2:
dfl2_ipsec1 - 192.168.2.10
dfl2_ipsec2 - 192.168.2.11
dfl2_ipsecCross1 - 192.168.2.12
dfl2_ipsecCross2 - 192.168.2.13
и прописываем эти ip в мониторинге соответствующих им ipsec туннелей противоположного dfl
для "приклеивания" этих IP соответствующим ipsec туннелям (на "противоположном" для них dfl), прописываем на dfl1 маршруты (и соответственно на dfl2 аналогично)
192.168.2.10 ipsec1
192.168.2.11 ipsec2
192.168.2.12 ipsecCross1
192.168.2.13 ipsecCross2
без мониторинга, с любыми метриками
при добавлении двух крайних маршрутов (и соответственно при выборе ip для мониторинга на перекрестных туннелях) следует учитывать, что для перекрестных туннелей, на разных dfl могут понадобится ассиметричные настройки, т.е. для ip адреса туннеля на dfl1 - dfl1_wan1---dfl2_wan2, будет соответствовать ip адрес присвоенный туннелю на dfl2 - dfl2_wan2---dfl1_wan1
вот собственно и все
чем понравилась эта схема - туннели переключаются мгновенно, нет ожидания ipsec, можно выставить параметры мониторинга на минимум, все переключается сразу
если я выложил то что всем и так давно известно, прошу великодушно простить:)мониторинг wan интерфейсов "вынесен за скобки"