"в логах очень странно - по одному и тому же и коннекшен клозе и оппен. чередуются"
подключается, не находит маршрута для сэбэ и отключается
короче надо через ssh выяснить используется ли альт. таблица

проведу один эксперимент. отпишусь потом.

_________________
понял настроил забыл

Итак. Решил пока отложить ДФЛ в сторону, ибо, думаю, что с альтернативной таблицей на дфл всё в порядке. Решил подружить на первом этапе между собой два ДСРа.
Поскольку на дфл схема айписек фейловер изначально подразумевает поднятие сразу двух туннелей (и основного и резервного) - решил добиться как-нибудь того же на ДСРах.

1. Включил на обоих ДСРАх лоад балансинг (соответственно одновременно работают все четыре вана - два на основном и два на удаленном).
2. Способ обнаружения фейловер поставил пинги противоположных ванов, то есть ван 1 одного пингует ван 1 другого, ван 2 пингует ван 2 другого.
3. Всё ваны поднялись. Пару раз отключал первый ван на своём дср - проверял статус первого вана удаленного - всё нормально ложатся. Но продолжают работать вторые ваны.
4. Сделал на обоих дсрах один туннель по первым ванам. Дед пир отключил. Поставил кипэлайв. Запустил. Пошло.
5. Сделал второй туннель на обоих дсрах по вторым ванам. Дед пир отключил. Поставил кипэлайв. Запустил. Не пошло... пишет cannot ennable two polices on the same traffic selector (хз не понял что..)
6. Взял и во вторых туннелях изменил параметры локальной и удаленной сети (на первом туннеле локальная сеть 192.168.10.1 - поставил 192.168.30.0, удаленная сеть - 192.168.20.0 - поставил 192.168.40.0). Просто ради эксперимента.
7. И завелось!.. итого работают все четыре вана, работают два айписека одновременно.

Чего я добился и почему вторые туннели не запускаются с теми же параметрами локальной и удаленной сети? Объясните мне пожалуйста!

Точнее так - на дср вторые туннели с теми же параметрами локальной и удаленной сети можно только в резерв убирать, но одновременно их даже на разных ванах не запустишь. это по умолчанию. дфл вроде такой фигней не страдает.
Выход наружу на дср можно PBR прибить к какому-то конкретному вану. При фейловер всё будет выходить через оставшийся ван. Потом опять вернётся на прибитый для выхода ван.

_________________
понял настроил забыл

всегда - два маршрута с одинаковой сетью назначения в таблице это ахтунг (кроме случая когда один с большей метрикой мониторится)
они работать не смогут вместе, будет работать первый по порядку или с меньшей метрикой
в случае с "синтетическими" интерфейсами (ppp, ipsec ), система наверное может проверять логику и корректность сверяясь с текущей таблицей до установки интерфейса

id события? и в лог референсе посмотреть!
таблицу и route status при этом давай (те)
может аналогично работе с просто пакетами: прежде чем искать правило, система смотрит в таблице соединений, есть ли готовое для этого пакета, и если есть - то правила не проверяются
примерно так же и здесь: ipsec такого назначения есть - иди на фиг, зачем тебе еще один?

Уважаемый Shkiper спасибо за участие, но уже так замотался, что голова не варит совершенно. Отложу на денек.
Такой вопрос может глянете удаленно? Конечно больше интересует схема ДФЛ - ДСР, а не дср - дср.
в принципе всё уже настроено между дфл и дср, но вот переключение айписеков только в ручном режиме работает (точнее по статусу они и так цепляются, но данные не идут). уж больно интересно в чем косяк...

экспериментировать могу только в выходные или после 8 вечера - ибо крики и вопли.

_________________
понял настроил забыл

"Чего я добился и почему вторые туннели не запускаются с теми же параметрами локальной и удаленной сети? Объясните мне пожалуйста!"
ответ в таблице маршрутов, при двух одинаковых до одного просто не дойдет "очередь"
вот еще ссылка
viewtopic.php?f=3&t=124240
там по этот фак про ipsec fail over: "Однако то FAQ не будет работать, я недавно писал уже как именно надо настраивать, попробуйте поищите..."
и рекомендации по настройкам:
*******************************************************************
"Смысл таков. Вам понадобятся 2 статических адреса или чтобы динамические адреса не пересекались - роутингом надо будет добиться того, чтобы wan1 коннектились только между собой, а wan2 - только между собой.

1) Interfaces > IPsec
Настраиваем 2 IPsec туннеля по http://dlink.ru/ru/faq/85/575.html
Отключаем NAT-T (особенно если у вас адреса белые), DPD, keep alive, автосоздание маршрутов

2) Interfaces > Interface groups
Делам группу (например ipsec) из двух туннелей

3) Rules > IP rules
Делаем правила
Allow lan/lannet ipsec/remotenet all_services
Allow ipsec/remotenet lan/lannet all_services
Allow ipsec/remotenet core/lan_ip all_icmp

4) В Routing > Routing tables для каждого IPsec туннеля делаем отдельную таблицу маршрутизации, где делаем единственный маршрут для all-nets на туннель без мониторинга, шлюза и с любой (например 100) метрикой - получается 2 дополнительные таблицы маршрутизации

5) Routing > Routing rules
Делаем правила для каждого туннеля вида <ipsec интерфейс>/all-nets any/all-nets, forward main, return <альтернативная таблица для туннеля>

Аналогичные пп.4-5 действия надо выполнить и для интерфейсов wan1, wan2

Этим мы добились, что пакеты из туннеля/интерфейса будут обрабатываться даже тогда, когда маршрут на него не активен (важно для восстановления туннеля и работы wan2)

6) Routing > Routing tables > main
Создаем два маршрута (например с метриками 90 и 91 - важно чтобы он был приоритетнее, чем маршрут на all-nets) на туннели. Более приоритетной метрикой вы выставляете тот тоннель, который будет основным. Включите host monitoring (только его!) и на вкладке Monitored hosts добавьте LAN-адрес удаленного DFL.

Если все сделано верно и нет подводных камней существующей конфигурации, то все заведется."
********************************************************************************

еще раз пожалуйста, обрисуйте схему которая будет в итоге (устройства, туннели)
принципиальный момент:
нужна ли одновременная работа 2 wan на одном устройстве?
если нет, то можно обойтись без альтернативных таблиц и route rule

и еще перечитав первую страницу, насколько я понял, у вас есть схема при которой fail over поднятие туннелей отрабатывается, просто трафик не идет, дайте таблицу маршрутизации при этом
и что в логах?

да, именно так. трафик начинает идти, если я вырубаю роут на первый айписек и отключаю мониторинг по роуту на второй айписек, оба роута из таблицы мэйн.
да, думаю, одновременная доступность двух ванов на дфл пригодится, поэтому хотелось бы эту возможность оставить.
если вкратце, то - на дфл будет одновременная доступность двух ванов, ван фейловер и основной и резервный айписеки. На удаленной стороне дср тоже с двумя ванами, но он так настроен, что ван доступен только один, второй включается, если вырубается первый ван (либо у них, либо у меня на дфл. перекрестные пинги) и у дср основной айписек с дфл, котрорый работает постоянно и есть ещё резервный (который не активен пока работает первый ван дср)
вечером сегодня всё выложу. ваш пост по настройке тоже использовал. точнее это краткий вариант предыдущего поста по настройке, который я на предыдущей странице выкладывал.

_________________
понял настроил забыл

первый скрин роут стэйт при подключении обоих ванов с приоритетом работы на первый ван
ваны на дфл получают настройки от провайдера по дхцп

_________________
понял настроил забыл

следующие скрины
установленный айписек 1 (основной) на дфл


SA на дфл - второй туннель не работает потому что от ДСР нет одновременной доступности по двум ванам


лог по айписеку на дфл

_________________
понял настроил забыл

отвечающий ДСР по первому айписеку


скрин установленного соединения с ДСР по первому айписеку

_________________
понял настроил забыл

второй этап - отключаю первый ван на дфл (соотвественно на ДСР тоже первый ван ложится)
ваны переключились.


роут мониторинг айписеков не реагирует (в мониторинге айписеков монитор пингует лан айпи удаленного ДСР - 192.168.20.1)

_________________
понял настроил забыл

выдержки логов с дфл при отключенном первом ване (сделал как смог не пойму как принт скрин сделать побольше))

_________________
понял настроил забыл

скрин ДСР при работе на вторых ванах, резервный айписек не устанавливается до тех пор пока на дфл не отключу мониторинг по айписекам. (что-то новенькое в прошлый раз другой вариант был)
наверное потому, что применил первые два правила из этого мануала.
Routing > Routing rules
Делаете правила
wan1/all-nets any/all-nets, forward main, return alt_wan1
wan2/all-nets any/all-nets, forward main, return alt_wan2
ipsec_remote1/all-nets any/all-nets, forward main, return alt_ipsec_remote1
ipsec_remote2/all-nets any/all-nets, forward main, return alt_ipsec_remote2
Если вам не надо одновременную доступность обоих WAN-ов, то первые два правила можно переписать в виде
wan1/remote_ip1 any/all-nets, forward main, return alt_wan1
wan2/remote_ip2 any/all-nets, forward main, return alt_wan2

_________________
понял настроил забыл

всё-таки предлогаю удаленный доступ..

_________________
понял настроил забыл