Добрый день!

Имеем главный офис: DFL-800 два интернет канала (настроенно резирвирование)
Для интерфейса IPSec DFL-800, на закладке Keep-alive указано "Настроенные вручную IP-адреса"
Keep-alive IP источника: lan_ip
Keep-alive IP назначения: lan_ip_2 (lan_ip_2 = lan_ip для DFL-210)
Дополнительный офис: DFL-210 один интернет канал
В качестве удаленной точки для интерфейса IPSec DFL-210 указана группа из белых IP DFL-800

Таблица маршрутизации main:
# Тип Интерфейс Сеть Шлюз безопасности Локальный IP-адрес Метрика Мониторинг этого маршрута
1 Маршрут wan1 wan1net 90 Yes
2 Маршрут wan1 all-nets wan1_gw 90 Yes
3 Маршрут DO2 DO2_net 89 No
4 Маршрут wan2 wan2net 100 No
5 Маршрут wan2 all-nets wan2_gw 100 No
6 Маршрут dmz dmznet 100 No
7 Маршрут lan lannet 100 No

Таблица маршрутизации alt:
# Тип Интерфейс Сеть Шлюз безопасности Локальный IP-адрес Метрика Мониторинг этого маршрута
1 Маршрут wan2 all-nets wan2_gw 90 Yes
2 Маршрут wan1 all-nets wan1_gw 100 No

Всё прекрасно работает, в том числе резервирование канала кроме одной вещи.
Алгоритм:
- Падает основной канал на DFL-800
- Весь трафик переключается на резервный канал, в том числе и IPSec
- Поднимается основной канал
- Весь трафик переключается на основной канал, кроме IPSec, он так и работает по резервному каналу.

Я так понимаю, это происходит из-за того что не смотря на метрику основного канала, пинг до lan_ip_2 спокойно ходит и поэтому DFL-800 "не понимает" что надо "передернуть" IPSec тунель.

Можно ли как-то это исправить, или может в настройках ошибка?
Если не хватает данных, готов предоставить.

У всех работает возврат на основной канал IPSec туннелей или я где-то пропускаю очевидную вещь?

Для IPsec "треугольником" надо чтобы DFL с двумя каналами отвечал только одним каналом одновременно (как минимум/достаточно для IPsec)
Чтобы не рушить ваши настройки, добавьте такое PBR выше обработки входящих с wan2
wans/remote_ip core/wans_ips ipsec-suite, forward main, return main

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Создал PBR
В ближайщее время протестирую и отпишусь.
Спасибо!!

Протестил.
IPSec не возвращается на основной канал

Покажите по роутингу и PBR что у вас еще есть

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Таблица main
1 Маршрут wan1 wan1net 90 Yes
2 Маршрут wan1 all-nets wan1_gw 90 Yes
3 Маршрут IS2 IS2_net 89 No
4 Маршрут IS3 IS3_net 89 No
5 Маршрут wan2 wan2net 100 No
6 Маршрут wan2 all-nets wan2_gw 100 No
7 Маршрут dmz dmznet 100 No
8 Маршрут lan lannet 100 No
9 Маршрут core Lan2_ip 0 No
10 Маршрут lan Lan2Net 100 No

IS2 и IS3 - это интерфейсы IPSec до офисов

Таблица alt
1 Маршрут wan2 all-nets wan2_gw 90 Yes
2 Маршрут wan1 all-nets wan1_gw 100 No

Правила маршрутизации
1 IPSec_3 wans IS3_gw core wans_ip ipsec-suite
2 IPSec_2 wans IS2_gw core wans_ip ipsec-suite
3 inbound wan2 all-nets core wan2_ip all_services

Вот пока копипастил пришла идея, может это из-за того что у IPSec маршрутов метрика 89, а надо больше чем 90 ?

В правилах маршрутизации 1-2 обе таблицы main?

Попробуйте эксперимент. После возвращения на основной канал, запустите пинг с удаленного DFL-210 на оба адреса DFL-800 - какой будет пинговаться?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

В правилах маршрутизации 1-2 обе таблицы main.
Пинг попробую.

На момент эксперимента с пингом покажите Status > Routes

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

После возвращения на основной канал пинги c dfl-210 проходят на оба WAN dfl-800
Status-Routes dfl-800
Флаги Сеть Интерфейс Шлюз Локальный IP-адрес Метрика
M 255.255.255.192 wan1 90
255.255.255.248 wan2 100
192.168.2.0/24 IS2 89
192.168.3.0/24 IS3 89
172.17.100.0/24 dmz 100
192.168.1.0/24 lan 100
192.168.99.0/24 lan 100
M 0.0.0.0/0 wan1 178.49.***.*** 90
0.0.0.0/0 wan2 91.195.***.*** 100

Логично.. У вас правила же для ipsec-suite
Поменяйте сервис в правилах PBR 1-2 на all_services или добавьте all_icmp в ipsec-suite временно, должен стать пинговаться только один канал

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Извиняюсь за задержку.
Провел тест с пингом, пинг после возврата на основной канал проходит ТОЛЬКО на основной канал, на запасной канал не проходит.
Тем более не понятно почему IPSec так же не поступает?

У вас есть альтернативные таблицы маршрутизации и правила PBR? Покажите

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Всё что есть я описал в посте №7
Нового ничего не делал

Таблица alt
1 Маршрут wan2 all-nets wan2_gw 90 Yes
Мониторинг статуса канала интерфейса
Мониторинг шлюза с помощью ARP
2 Маршрут wan1 all-nets wan1_gw 100 No


Правила маршрутизации
1 IPSec_3 wans IS3_gw core wans_ip ipsec-suite
Таблица прямой маршрутизации - main
Таблица обратной маршрутизации - main

2 IPSec_2 wans IS2_gw core wans_ip ipsec-suite
Таблица прямой маршрутизации - main
Таблица обратной маршрутизации - main

3 inbound wan2 all-nets core wan2_ip all_services
Таблица прямой маршрутизации - main
Таблица обратной маршрутизации - alt