Смысл здесь в том, чтобы всё, что приходит с wan2, туда же возвращалось. Маршрутизация ничего не знает о Ваших пробросах и ответ на пакет, пришедший с wan2, отправит по тем же правилам как и любое обращение в Интернет, если специально не позаботиться. Обычно у пользователей wan1 основной, так что пакет уйдет
туда. Естественно клиент, обращающийся по адресу wan2 не воспримет пакет, пришедший с другого ip как "ответ". Поэтому делается правило PBR, в котором указывается как return таблица ТОЛЬКО С ОДНИМ МАРШРУТОМ ЧЕРЕЗ WAN2. Желательно симметрично сделать и для wan1, что даст Вам свободу делать основным на выход wan2 или настраивать балансировку без ущерба для входящих соединений.

Так можно сделать полностью симметричную систему, в которой один сервер виден снаружи под двумя равнозначными ip от разных провайдеров. Можно отдавать по DNS оба ip с round robin. К сожалению, не все клиентские программы умеют это использовать. Некоторые будут упорно стучаться по одному адресу, даже если он недоступен. Лучше, конечно, собственная автономная система и BGP, но DFL BGP не поддерживает .

Я это и имел ввиду, посылая вам ссылку

А те же это будут правила или другие - это уже детали. Без PBR это все равно работать не будет

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

правило я написал
Достаточно ли для работы правил проброса с интерфейса wan1 и где указан wan1_ip создать правила в
Routing Rules типа
Forward routing table: main
Return routing table: alt
Service: all services
any all_nets
core wan2_ip
но при отключении первого интеа,,второй понимается и работает, но правила пробросов не работают,
чего надо ещё сделать?

Прошу прощения за оффтоп. Но не хочется создавать новую тему ради одного вопроса.

У DFL-260E порт DMZ можно использовать, как WAN2.
А вот DFL-860E имеет WAN1, WAN2 и DMZ (как написано на оффсайте - "настраиваемый"). Возможно ли DMZ использовать, как полноценный третий WAN?

DFL-860E имеет 4 маршрутизируемых порта, один из которых (LAN) разветвлен на 8 встроенным свитчем. Свитч, однако, можно перевести в решим "port based VLAN" и получим 11(!) портов. Как их использовать -- полностью Ваше дело, что напишете в правилах -- то и получите

"Вошь, оно, конечно, что ж... Вошь, оно неплохо тож!"
Т.е. спасибо за ответ и напоминание про VLANы. Как-то упустил из виду, что не только тегируемые есть в DFL-ках.

И так,,вроде разобрался, но остались вопросы,,
Каким образом организовать мониторинг пингом до узла?
И почему всё же приходиться делать правила клоны проброса портов но указывать wan2-ip
при этом в марштутизации тоже прописываю по сервисам, и эти правила работают даже когда офис не на резервном канале?

Включаете только мониторинг по ICMP, остальные не включаете. и прописываете набор узлов, которые будут пинговаться. там в основном интуитивно понятно. параметры по умолчанию узлов для пинга сначала лучше не менять. они вполне разумные и работоспособные.

Напишите вопрос подробнее. с примерами правил

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

ну смысл таков,,
в правилах маршрутизации прописано к примеру
Routing Rules типа
Forward routing table: main
Return routing table: alt
Service: rdp
any all_nets
core wan2_ip

при этом если первый инет выдернуть, то правила проброса не работает,
пока я не сделаю сат и нат правила для wan2-ip

но тогда с интерфейса Wan2 все эти правила работают постоянно,,а не только когда нет инета на первом wan1