Изменение таймингов не помогло. Заметил еще один интересный момент. На 860 правила маршрутизации работают как нужно, а именно, 2 интерфейс на пинги не отвечает. На 260 при абсолютно тех же настройках (зеркальных) 2 интерфейс пингуется!!! Отключил вообще все маршруты и правила маршрутизации на 2 интерфейс он продолжает пинговаться

Отключил весь мониторинг. Забыл про этот вопрос на полтора дня. Сегодня проверяю - правила маршрутизации заработали как должны

У меня немного иной расклад:
центр - DFL-260E (2.27.03) два провайдера (ISP1 - основной-городская оптоволоконная сеть, static IP,подключен WAN1; ISP2 - резервный, dynamic PPPoE - ADSL - надежный но медленный, подключен к WAN2) у обоих статические "белые" IP
филиал - DI-804HV, подключен через ISP1.
между ними IPSEC

В центре довольно часто падает ISP1, у которого однако значительно лучше характеристики чем у ISP2. Падает причем где-то в середине (то есть мониторить можно только по хосту)
Необходим файловер для центра как интернета так и IPSEC (чтобы когда центр работает на ISP2, у филиала не падал IPSEC)
При этом, чтобы при восстановлении связи у ISP1 все возвращалось на него. Балансировка по провайдерам не нужна - ISP2 как резервный только.

Я настроил файловер по http://www.d-link.ru/ru/faq/85/926.html, до пункта 7. PBR не настраивал, доп таблицы не создавал.
Маршруты делал вручную, мониторинг по хосту 8.8.8.8, на обоих интерфейсах. У ISP1 (WAN1) метрика меньше.
Учитывая http://www.d-link.ru/ru/faq/85/926.html, В принципе файловер интернет в центре работает. IPSEC висит на ISP1.

Изначально все работало только на ISP1 продолжительное время. Филиал (DI) настраивался по ФАК с сайта.
ISP2 в центр добавил только что.

1. Возможно ли настроить в моем случае переброску тоннеля при падении в центре ISP1 на ISP2 не меняя в филиале роутер на DFL? Каким образом?

2. Не понял зачем нужно настраивать доп таблицы маршрутизации и PBR? Нужно ли это в моем случае? Особенно учитывая в обсуждении "При 2-1 ни альтернативные таблицы (как на wan, так и на ipsec), ни PBR не нужны". В центре на DFL еще висит PPTP сервер (пока только на ISP1, позже добавлю на ISP2), DHCP, планирутся к внедрению UTM функции роутера (подписки на Intrusion Detection & Prevention и Content Filtering)

Здравствуйте!
Настроил DFL-860E и DFL-260E согласно схеме 2-1.
Но возникли проблемы:
1) При отключении основного провайдера (WAN1) моментально происходит переключение на резервного провайдера (WAN2), но VPN (IPSEC) на резервный канал устанавливается только через 2 минуты. Можно как-нибудь ускорить переключение VPN на резервный канал?
2) После восстановления соединения на основном канале интернет восстанавливается на основном провайдере, но VPN так и остается висеть на резервном канале. Помогает только вручную удалить cтатус IPsec IKE (Stasus - IPSEC - List all active IKE SAs) После этого VPN уже строится через основного провайдера. Как сделать чтобы при восстановлении основного канала автоматически восстанавливался VPN через основного провайдера?

Приподниму тему. Есть проблема связанная с VPN. два устройства - в центральном офисе DFL-860E (2.40.00.10-16817), в филиале DFL-210 (2.26.00.02-12511). Между ними настроен IPSec тоннель который по необъяснимым причинам отваливается через рандомные промежутки времени. Маршрутизаторы при этом видят друг друга без перерывов. Через рандомный промежуток времени связь восстанавливается. Пинг на внешний IP при этом не прерывается. Я всю голову себе сломал уже. Ни перезагрузки на обоих концах оборудования, ни изменение параметров тоннеля, ни смена прошивки - не помогает ничего. Иногда в логах проскакивает что peer is dead ipsec disabled. Отключил параметр dead peer detection. Не помогло. При этом в статусах показывает что тоннель установлен. Прошу вашей помощи.

IPSec lifetime в секундах уменьшите на свой вкус.

А можно где - то посмотреть мануал на такую настройку двух DFL? В одной точке DFL-800 (2 провайдера со статическими адресами), а в другой DFL-210 (1 провайдер со статическим адресом). Нужно сделать так, чтоб туннель поднимался автоматически на другом провайдере, если падает один.

Был на форуме пдф . Последний его постил я . По всей вероятности вам поможет .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Не помог .pdf.
По нему настроили DFL-800 с двумя WAN (белые статические адреса). Удаленный DFL-210 с одним WAN (1 белый статический адрес) настроили по Вашей рекомендации: "один тоннель, на DFL с одним WAN указывается группа адресов удаленного DFL как remote endpoint". При таком раскладе вообще тоннель не поднимается, если же настроить один из двух удаленных IP адресов в качестве remote endpoint, то тоннель поднимается в обоих случаях. Что мы делаем не так?

Мануал не мой . Найдите автора и спросите .
Я просто собираю у себя всякие полезности .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ну а все таки как правильно сделать IPSec failover по схеме 2 - 1?
В разных ветках форума отвечают: "Ищите на форуме, тема обсуждалась неоднократно". Но толкового объяснения нет. Или я не нашел.