При 2-1 ни альтернативные таблицы (как на wan, так и на ipsec), ни PBR не нужны

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

danilovav Sorry за оффтоп, прошу не ругать - есть вопрос:

Как настроить маршрутизацию между IPSec-туннелями? (т.е. в моем случае из центра я вижу все филиалы и они соответственно видят центральный офис, а между филиалами пинги не ходят. Желательно, если возможно, БЕЗ поднятия IPSec-тунелей между филиалами, т.е. настройками маршрутизации на D-Link-е центрального офиса.) Почитал на FAQ D-Link-а, нашел только это http://www.dlink.ru/ru/faq/91/443.html

И еще вопрос - какой оптимальный размер MTU выставлять на IPSec-тунелях? (соотвтетственно нужно ли что-то изменять в Advanced Settings \ Lenght Limit Settings)

1. В IPsec ACL (local/remote net) должны быть указаны все сети, к которым/от которых пойдет трафик
2. Должны быть правила allow


Зависит от типа трафика по туннелю.
Для обычных НТТР, RDP достаточно стандарта
Под обмен большими файлами, Sybase я ставил 2000, больше ничего не менял

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Извиняюсь, подскажите подробнее, где в меню DFL-210/860e находится ACL-правила (Access Control List)? И хотя бы небольшой пример настройки.

Чисто ACL в Rules > Access, но это не то же самое, что Cisco ACL

Я вам говорил о IPsec ACL - параметры local/remote network в туннеле IPsec

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Как реализовать это всё для динамически подключаемых хостов, описанных в http://dlink.ru/ru/faq/92/927.html

И (может не по теме) как заставить ipsec работать через wan1, а весь остальной трафик через wan2

я сделал:
routes:
main: pppoe1 all-nets 60
pppoe2 all-nets 70
alt_ipsec(only): pppoe1 all-nets 70
pppoe2 all-nets 60
D_ipsec all-nets 0

ipsec: D_ipsec
Локлаьная сеть: lannet
Удаленная сеть: all-nets
Удаленная точка: none
Режим инкапсуляции: tunel
аутентификация: PSK
галочка: Динамически добавить маршрут к удаленной сети, когда туннель установлен
Правила:
1 from_IPSec Allow D_IPSec all-nets lan lannet all_services
2 to_IPSec Allow lan lannet D_IPSec all-nets all_services

И стандартные правила для pppoe2

По такой схеме соединения по D_IPSec держатся 1-2 минуты и отваливается..
железки dfl-860e.

Добрый день.
Собрал схему по мануалу на 1й странице.
При падении основного провайдера резервный туннель поднимается. Но после поднятия основного провайдера (подключения кабеля к wan1 порту) IpSec продолжает работать через резервный канал. После выдергивания кабеля из wan2 (при подключенном 5 минут назад wan1) падают оба IpSec туннеля. Точнее в статусе IpSec показывает что они, оба туннеля, подняты (основной и резервный), но внутренний интерфейс DFL не пингуется. Втыкаешь wan2 на место туннель опять поднимается по резервному каналу. После полной перезагрузки обоих DFL поднимается туннель по основному каналу, при этом в статусе показывает что поднят только основной IpSec.

Wan'ы мониторятся оба.
Wan'ы работают как должны при падении wan1 доступен wan2 при доступности wan1 недоступен wan2. Единственный момент, что после отключения wan1, происходит почти моментальное (всего один пакет теряется) переключение на wan2, после же подключения wan1 на место. Пакетов 10-15 нормально идет до обоих интерфейсов.

Если включить мониторинг обоих туннелей то оба туннеля падают.

Скорее всего что то не так с маршрутизацией.
Просьба к автору мануала прокомментировать в чем может быть причина.

Подкорректируйте параметры мониторинга wan и тунелей например так


Интересен результат. Мне помогло, понимаю что параметры завышены.

Сейчас у меня
Polling Interval: 3000 milliseconds
Samples: 7 polls
Max Poll Fails: 2
Max Average Latency: 800 milliseconds
Попробую в пн (клиентов под вечер очень много).
У Вас резервный туннель тоже мониторится?

Да, но вот мысль отключить мониторинг резервного тунеля меня почему-то не посещаля.
А у меня схожая проблема, только у меня при падении резервного тунеля, почемуто начинает колбасить маршрутизацию.

Не думаю что есть смылс ждать понедельника, клиенты ребута тунелей(принименния настроек) не заметят.

Это то да, не заметят... но смысл настройки делать, чтобы сразу их не проверить?

Те настройки что я дал являются мнее жесткими чем у тебя. Поэтому хуже точно не будет.

Я это вижу. Просто потом, скорее всего, для возврата на основной туннель придется полностью ребутнуть обе DFLки. А когда на кассе очередь эти 1,5 - 2 минуты очень сильно нервируют клиентов, они кассиров, а кассиры меня. Смысл ведь не выставить настройки, а проверить их работу.

Я всёже думал что задача решить проблему с падением канала:) Ну да тест тоже полезная вещь.