Есть DFL-800 на нём были когда-то подняты туннели IPSEC.
Позже появился второй провайдер и настроена была балансировка нагрузки. В следствии перестали работать туннели.
сообщения в логах "statusmsg="Timeout" local_peer="127.0.0.1 ID No Id" remote_peer="94.233.223.15 ID No Id" initiator_spi="ESP=0x32db219b, AH=0xe98f3bbc"" - смущает 127.0.0.1.
Похоже что устройство не знает от какого интерфейса устанавливать туннель.
Как вариант вижу, что необходимо привязать поднятие туннелей к конкретному wan.
1.Как это сделать?
2. как настроить помимо балансировки ещё взаимное резервирование подключений по wan? (первый провайдер подключён по PPPOE - устройство ругается что некоторые адреса для мониторинга нулевые и как следствие резервирование не работает....может что не так делаю...)

Для начала, разведите жестко статическими маршрутами по WANам

И, вам все-таки балансировку (сначала один, потом второй) или резервирование (работают оба) надо?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Как это сделать ? - конечные точки не имеют статических адресов а лишь могут лежать в диапазоне адресов провайдеров удалённых подключений и в IPSec задаются как dns:aaa.bbb.cc
- не могу сообразить.


имеется в виду при настроенной балансировке в случае падения одного из каналов весь трафик переводится на рабочий wan.

Тогда вам надо задавать маршрут на этот диапазон. Все другие способы очень сложны для реализации.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

+1 к маршрутам на подсети на удаленные remote endpoint'ы.

Далее, вам нужна именно балансировка + мониторинг. При этом трафик будет идти через оба IPsec туннеля, при падении одного из них - по оставшемуся.

Ниже приведена примерная настройка для балансировки с мониторингом только для IPsec.

1) Статический роутинг до remote endpoint'ов. Без него вообще не заработает

2) Intrefaces > IPsec. Для всех IPsec убираете создание маршрута (далее сделаем вручную), можете выключить keep alive

3) Interfaces > Interface groups
Добавьте группу ipsec из ваших тоннелей

4) Rules > IP rules
Переделайте allow правила на IPsec туннели на созданную группу (для удобства)
Добавьте правило allow <ipsec интерфейс>/all-nets core/lan_ip ping-inbound

5) Routing > Routing tables
Добавляете для каждого IPsec отдельную таблицу маршрутизации и делаете в ней единственный маршрут <ipsec интерфейс> all-nets 0 (all-nets - для простоты)

6) Routing > Routing rules
Для каждого IPsec добавляете таблицы маршрутизации
<ipsec интерфейс>/all-nets any/all-nets, forward main, return <альтернативная таблица для ipsec>

7) Routing > Routing tables > main
Руками делаете маршруты на IPsec (с нужными метриками) и включаете на них только ICMP мониторинг до LAN-адреса удаленного DFL

8) Routing > Routing tables
Добавляете еще одну таблицу маршрутизации (например, ipsec) и туда добавляете 2 маршрута на IPsec с одинаковой метрикой и ICMP мониторингом как в п.7

9) Routing > Route load balancing > Instances
Добавляете instance с алгоритмом round robin с указанием таблицы ipsec

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc