Добрый день!
Есть 2 офиса, в каждом из них dfl-860. Между ними ipsec. Трафик ходит между ними нормально. Но в 1 офисе проблема с тем, что иногда интернет не работает со стороны провайдера и связи между офисами нет. Для этого подключили второго провайдера в офис 1. Необходимо поднять канал при котором в случае пропадания связи первого провайдера, трафик между офисами, шел по второму каналу при том, что во 2 офисе один провайдер. Попытки адаптировать инструкцию http://security.dlink.com.tw/temp/SUT_D ... ilover.pdf (How to configure IPSec VPN failover) не превели к успеху. Проблема еще в том, что настраивать днем нельзя, так как днем должна работать связь между офисами. Пробовать можно только вечером и если failover не получается настроить, все настройки приходиться возвращать обратно.
Подскажите, пожалуйста, по возможности по подробнее, как нужно настроить ipsec failover? В настоящий момент все настроено аналогично примеру http://www.dlink.com.tw/online_manual/s ... l_v1.1.pdf

Лучше посмотрите на этот faq http://ftp.dlink.ru/pub/FireWall/IPSec_ ... HQ_VER.zip только используйте новые механизмы мониторинга.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Можно по подробнее на счет мониторинга. Мониторинг чего интерфейсов wan, ipsec или маршрутов?

Всего. Маршрут к all-nets лучше мониторить при помощи ICMP а IPSec можно как в faq

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Настройки на маршрутизаторе 1. (офис где 2 ISP)
Route

Правило:

Группа интерфейсов

IPSec

Пытаюсь применить данные настройки пишет:
Could not establish bi-directional communication after configuration upload, и возвращает все обратно

При попытке применения выдается следующее сообщение:

И далее в system status

По всей видимости у меня получаются 2 одинаковых IPSec. И поэтому dfl не может поднять их. Как правильно прописать в dfl маршруты с учетом специфики данного случая?

IPsec мониторить тоже лучше по ICMP. Делается это так

1) Routing > Routing tables
Добавляете для каждого IPsec отдельную таблицу маршрутизации и делаете в ней единственный маршрут <ipsec интерфейс> all-nets 0 (all-nets - для простоты)

2) Routing > Routing rules
Для каждого IPsec добавляете таблицы маршрутизации
<ipsec интерфейс>/all-nets any/all-nets, forward main, return <альтернативная таблица для ipsec>

Теперь, руками делаете маршруты на IPsec (с нужными метриками) и включаете на них только ICMP мониторинг до LAN-адреса удаленного DFL.

При этом, keep alive для IPsec уже не нужен т.к. мониторинг маршрутов будет создавать постоянные хождения пингов в туннеле.

Не забудьте сделать правило allow <ipsec интерфейс>/all-nets core/lan_ip ping-inbound

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

автор, попробуйте сделать во 2 офисе динамический ipsec,
в 1 офисе оставьте один туннель.

либо вместо ipsec используйте pptp

_________________
если человек - идиот, то это надолго