Добрый день.
Сразу оговорюсь, информацию искал, находил, пробовал, желаемого результата не получается добиться. Прошу помощи.
Аналогичную ТЕМУ читал - не работает.

Есть DFL-2500 (fw: 2.27.03.25-14786) и DFL-210 (fw: 2.27.03.25-14787). Все IP статические белые. Нужно реализовать отказоустойчивую схему:
туннель 1: DFL-2500_ipWan1 -- DFL-210_ipWan1
туннель 2: DFL-2500_ipWan2 -- DFL-210_ipWan1
Желаемый результат: работа туннеля до DFL-210 при отказе одного из Wan на DFL-2500.

Буду благодарен за любую помощь и информацию. Спасибо

метриками разруливайте . треугольник самый простой способ.
туннели делайте с All-Nets если они IpSec далее маршруты и метрики .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

1. Маршруты такие?
DFL-210
Interface --- Network --- Metric --- Monitor
Ipsec1 --- remote_net_dfl2500 --- 1 --- ?
Ipsec2 --- remote_net_dfl2500 --- 2 --- no

DFL-2500
Interface --- Network --- Metric --- Monitor
Ipsec1 --- remote_net_dfl210 --- 1 --- no

Такую схему пробовал: с Ipsec1 на Ipsec2 переключается, обратно - нет.

2. Нужен ли мониторинг на основном туннеле и что мониторить?
3. В каком состоянии должны быть Keep-alive, Dead Peer Detection, NAT Traversal и на каких туннелях?
4. Нужны ли еще какие-то настройки роутинга на DFL2500, кроме маршрута для туннеля?

я по любому мониторю .
хуже не будут . и есть некоторые свои на работки про мониторинги ....

а вы хотите что бы у вас по кругу ходило ? я просто не совсем понимаю ....
я мониторю что то за туннелем . например LanIP
я включаю только Keep-alive
правила

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Грубо говоря - да.
На DFL2500 нужно чтобы при падении Wan1 на DFL2500 связь шла через Wan2. При поднятии Wan1 связь снова была через него.
На DFL210 соответственно маршруты до DFL2500_ipWan1 и DFL2500_ipWan2 также переключались туда-обратно.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо, буду пробовать

да должно работать, может имеет смысл, извиняюсь за назойливость, эту схемку еще покрутить, там вроде все просто
что конкретно не отрабатывает?
таблицы, настройки тунелей взглянуть можно?

В ТЕМЕ написано, что нужно отключить keep alive. Так и настраивал. Vladimir22 подсказал, что keep alive нужно включить - после этого все заработало.

Мой конфиг:
DFL2500: один туннель
Keep-alive - auto / Dead Peer Detection - off / NAT Traversal - off / маршрут для туннеля - автоматически / остальное по умолчанию

DFL210: два туннеля
1. RemoteEndpoint - DFL2500_ipWan1 / Keep-alive - auto / Dead Peer Detection - off / NAT Traversal - off / маршрут для туннеля - вручную / остальное по умолчанию
2. RemoteEndpoint - DFL2500_ipWan2 / Keep-alive - off / Dead Peer Detection - off / NAT Traversal - off / маршрут для туннеля - вручную / остальное по умолчанию
Ключи на всех туннелях одинаковые.
Маршруты:
Одна таблица - main.
1. Interface - туннель1 / метрика - 80 / Monitor - on / Monitor Interface Link Status - on (либо Host Monitoring удаленного lanIP - переключается туда-обратно при любом варианте)
2. Interface - туннель2 / метрика - 90 / Monitor - off

Ок, работает. Но возникла проблема - при переключении на второй туннель начинаются сильные потери пакетов (причем стабильно теряется каждый 6й). Точно такие же потери начинаются сразу после активации данной конфигурации и на других DFL(210,260e), но уже на активном первом туннеле. После отмены изменений - снова все нормально. Прошивки последние. С чем может быть связано, куда смотреть?

MTU на IPsec интерфейсах сколько прописано?

1420 везде

2000 ставте Ю и голову не парьте

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

А смысл от такого размера MTU? Больше 1500 все равно не будет. У себя проверил - 1472 байта, плюс 28 байт на заголовки. Как раз 1500 и выходит.

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/

Фишка примерно в следующем - либо рубить пакет на два и эти два куска шифровать, либо шифровать один кусок и его уже рубить.