"Выкурил" весь FAQ и форум, наэксперементировался до посинения, зашел в тупик.

Что есть:
в головном
DFL-860
wan1: xx.xx.134.xx
wan2: xx.xx.153.xx

в филиале 1
DI-804HV
wanIP: 100.xx.xx.xx (wanIP100)
IPSec настроен на wan1

в филиале 2
DI-804HV
wanIP: 200.xx.xx.xx (wanIP200)
IPSec настроен на wan2

Задача: необходимо сделать так, чтобы IPSec-туннели работали и по wan1 и по wan2 одновременно.

Что сделано:
На DFL сделаны все необходимые настройки и правила для двух IPSec-туннелей: для wanIP100 и для wanIP200.

Работоспособность каждого туннеля проверена.

Не работают оба разом.

По ходу запутался в маршрутизации.
Сначала все сделал, как тут: http://www.dlink.ru/ru/faq/85/576.html
В результате с обоих (wan1 и wan2) работает все (Ping, PPTP, FTP, итп), кроме IPSec.

Потом попробовал сделать, как тут: http://appc2memory.blogspot.com/2008/08/dfl-800.html
Результат тот же.

Если в таблице маршрутизации main задать явно два правила с меньшей метрикой для wan2:
Interface: wan2
Network: IPSec_Moscow2_Endpoint
Gateway: wan2_gw
Metric: 90
второй туннель начинает работать, первый отрубается


Попробовал в Alt1 и Alt2 добавить правила маршрутизации для IPSec для каждого из wan соответственно:
В Alt1:
Interface: wan1
Network: IPSec_Moscow2_Endpoint
Gateway: wan1_gw
Metric: 90

В Alt2:
Interface: wan1
Network: IPSec_Moscow2_Endpoint
Gateway: wan1_gw
Metric: 90

работает только на wan1

Вообщем остановился вот на чем:
Таблица маршрутизации main:


Таблица маршрутизации Alt1:


Таблица маршрутизации Alt2:


Правила маршрутизации:


Правило 1:


Правило 2:


Правило 3:


Правило 4:


Что еще нужно сделать, чтобы заработало?

- удалить все правила маршрутизации
- удалить все таблицы маршрутизации
- добавьте маршрут в таблицу main :
Interface: wan2
Network: 200.xx.xx.xx (wanIP200)
Gateway: wan2_gw

_________________
если человек - идиот, то это надолго

А метрика? 90 или 100

У меня был такой варинат, я про него писал в первом посте. В этом случае работает IPSec по wan2, а по wan1 нет

обновляйте прошивку

_________________
если человек - идиот, то это надолго

С этого я вообще настройку начал.
Firmware Version: 2.26.00.06-12649
Sep 23 2009

У вас же адреса удаленных офисов статические?
Делайте статический роутинг (Routing > Routing tables > main)
wanIP100 wan1 wan1_gw 0
wanIP200 wan2 wan2_gw 0
Этого будет достаточно чтобы оба IPsec работали каждый по своему каналу

Кстати
1) уберите Local ip address из маршрутов
2) правила to_wanXnet бесполезные
3) в alt-таблицах оставьте только один маршрут до all-nets

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Немного запутался
Т.е. правила нужно сделать такие?

Interface: wan1
Network: wanIP100
Gateway: wan1_gw
Metric: 0

Interface: wan2
Network: wanIP200
Gateway: wan2_gw
Metric: 0

Да, только это не правила, а статические маршруты

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Понял. Поэксперементирую.
Теперь вот такой вопрос интересен.
А если у меня один DI-804HV и я хочу на DFL настроить IPSec так, чтобы у DI была возможность коннектиться к DFL и по wan1 и по wan2, в зависимости от того, какой из адресов - wan1 или wan2 - стоит в "Remote Gateway" настроек IPSec на DI? Я попробовал сделать два маршрута типа:

Interface: wan1
Network: wanIP100
Gateway: wan1_gw
Metric: 0

Interface: wan2
Network: wanIP100
Gateway: wan2_gw
Metric: 0

но в результате IPSec работает только по wan1. Я так понимаю, что здесь хитрее настройки маршрутизации?

Ваша задача - это просто прием подключений по всем WAN интерфейсам, не надо никаких дополнительных статических маршрутов, надо альтернативную таблицу маршрутизации (было выше)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Хорошо, буду эксперементировать
Спасибо за ответы