Имеется сеть назовем её VIRTUAL_NET поверх интернета из нного количества DFL, примерно на половине есть два аплинка от разных операторов. Пиры соеденины между собой через IPSec, failover реализован монитором основного маршрута и его убийством ( при отвале wan1 IPSec подключится к wan2)
Вопрос:
Есть ли механизм позволяющий: А - использовать оба канала прозрачно для юзеров пользующих ресурсы VIRTUAL_NET суммируя их скорость(своеобразный RAID0), можно с простой круговой балансировкой внутри тоннелей.
Б - при отвале любого из каналов не рвать соединение (своего рода RAID1).

Есть вариант использовать stateless (пакетный) RLB.

Для этого
1) заведите альтернативные таблицы маршрутизации на каждый IPsec (без мониторинга!), обрабатывайте входящие из IPsec через них
Routing > Routing tables > alt_ipsec1
ipsec1 all-nets <no gw> 100
Аналогично для ipsec2
2) заведите таблицу маршрутизации alt_ipsec_rlb, в нее 2 маршрута с равными метриками на оба ipsec, оба мониторить пингом до удаленного DFL
Routing > Routing tables > alt_ipsec_rlb
ipsec1 all-nets <no gw> 100, monitor: ping to remote_dfl_ip
ipsec2 all-nets <no gw> 100, monitor: ping to remote_dfl_ip
3) сделайте round robin RLB instance на таблицу alt_ispec_rlb
Routing > RLB > Instances
Table: alt_ipsec_rlb, alg: round robin
4) перенаправляйте все пакеты из локалки в удаленную сеть на эту таблицу
Routing > Routing rules
lan/lannet any/remote_net, forward alt_ipsec_rlb, return main
5) используйте forward fast вместо lan <> ipsec, обязательно разрешайте трафик в обе стороны
Interfaces > Intreface groups
ipsec = ipsec1 + ipsec2
Rules > IP rules
Allow ipsec/remote_net core/lan_ip ping-inbound
ForwardFast lan/lannet ipsec/remote_net all_services
ForwardFast ipsec/remote_net lan/lannet all_services

Я делал это - работает, но по ощущениям лучше уж оставить destination RLB - все то же самое, но вместо forward fast - простой allow, RLB alg: destination.
Суммарная скорость чуть ниже, но зато все в целом более отзывчиво (т.к. выпадений пакетов внутри соединения невозможно).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

как плюсик поставить? спасибо! попробую, примерно так это и представлял.

на одном из устройств оператор не дает белого IP по резервному каналу и видимо из-за этого IPSec не поднимается, это можно как-то обойти ?

Выяснять белый NAT-адрес, делать маршруты с обратной стороны на него.
Не забудьте включить NAT-T в параметрах IPsec (keep alive при этом - выключить).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

прошу прояснить: если в IPSec в поле "Remote Endpoint:" мы указываем 2 и более IP то роутер пытается установить соединение одновременно с всеми перечисленными конечными точками или перебирает по очереди пока не установит исправное соединение?

сделал как описано с dest.RLB, глючит мониторинг. Не пойму как он работает. Он шлет ICMP пакет по маршруту который мониторится или выбирает маршрут от CORE на общих основаниях? если так не понимаю как система поймет какой из тоннелей упал и какой маршрут убить, ведь на общих основаниях согласно правилам пакет может отправится в любой тоннель произвольно ? тогда должно быть 2 IP для мониторинга каждый для своего IPSec с отдельными правилами перенаправления. Если ставлю галку Monitor Interface Link Status при падении тоннеля машрут не помечает как битый или оба отмечает как битые хотя один работает второй нет, а нафига она там вообще тогда?

Если вы используете один канал с одной из сторон, то на другой необходимо обеспечить, чтобы одновременно был доступен только один адрес.
Это делается заворачиваением трафика от DFL через main, в которой настроен обычный мониторинг (пингом).


Не надо Monitor Interface Link Status, надо только ICMP мониторинг.
У вас, похоже, ситуация с каналом 2-к-1 (каналы)? Или все-таки 2-2?
Опишите более подбробно.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

я вас понял xD, пинговать нужно по внешнему IP при мониторинге, а не по внутреннему тогда всё должно получиться, и всё же поясните мониторинг работает по общим правилам, а не именно по тому маршруту который мониторим?