Добрый день.

Имеется задача: приземлить IPsec на Wan1, раздать пользователям интернет через Wan2. Два провайдера в наличии, два белых IP на интерфейсах.

IPsec работает, все хорошо, но кикак не получается заставить роутер выпускать клиентов в инет через wan2. Проблема в том, что при изменении метрики на wan2 default route перестает работать ipsec. Роутер в таком случае начинает отвечать на ip wan2 интерфейса.

Более подробно:
wan1 - x.x.x.x
wan2 - y.y.y.y

пример маршрута:
wan1 0.0.0.0 wan1_gateway metric 10
wan2 0.0.0.0 wan2_gateway metric 50
В таком случае на wan1 приземляется ipsec, но и клиенты, разумеются, ходят в инет через wan1_gateway, на роутер можно зайти через https://x.x.x.x. При уменьшении метрики на wan2 все начинают ходить в инет через него, но IPsec уже не приземляется, роутер становится доступным уже по адресу https://y.y.y.y

Пробовал убирать default route для wan1, оставляя только маршрут до второго конца туннеля IPsec через wan1 - не получилось. Я так понимаю, нужно смотреть в сторону routing rules, оставив wan1 основным интерфейсом с меньшей метрикой, но разобраться так и не получилось.

Спасибо!

Измените правила IP Rules
Там в папке Lan_to_wan замените в правилах интерфейс wan1 на wan2

При такой настройке перестает работает выход в интернет, что логично. Дефолт роут ведь через wan1 идет.

А PBR , про которую говорится раз в неделю - кто делать будет ?!
а что бы ипсек не падал . сделайте маршрут до удаленной точки через WAN1 с метрикой меньшей чем у вас есть - например 50 . как то так ...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

C PBR никак не разберусь, видимо тупой )

Если сделать так:
remoteipsecpoint wan1 metric 10 - меньшая метрика для тунеля через wan1
0.0.0.0 wan2 metric 20 - дефолт роут для выхода в инет через wan2
то ipsec поднимается в одну сторону, а в обратную - фиг (на первой дфл вижу поднятый айписек, на второй - ошибки и отсутствие туннеля), ибо роутер никакие запросы из вне на IP wan1 не отвечает. Все приходит на интерфейс, дефолт роут которого имеет меньшую метрику.

Разобрался, оказалось, что сам дурак

Инструкция на настройку routing rules, которая тут тыщу раз проскакивала, не работала у меня по причине кривой настройки wan интерфейсов (косяки с маской). Мне не очень понятно почему так происходило, но после исправления масок все завелось.

В итоге роуты выглядят так:
main routing table:
wan1 0.0.0.0 wan1_gate metric 10 - дефолт роут остается для ipsec и доступности роутера снаружи через ip wan1
alt routing table:
wan2 0.0.0.0 wan2_gate metric 0 - эту таблицу используем для выхода в интернет пользователей
routing rule:
forward routing table: alt routing table
return routing table: main
service: all-services
source int: lan net: lannet
dest int: wan1 net: all-nets

Всем спасибо!