Добрый день, помогите плиз советом.
Имеем в центральном офисе DFL-1600 и два канала в инет от разных провайдеров (условно ISP1 - основной / ISP2 - резервный) подключенных в wan1 и wan2 соответственно. На обоих интерфейсах белые айпишники. Есть несколько удаленных офисов, в которых стоят DFL-200/210/800.
Между центральным офисом, через канал провайдера ISP1, и филиалами настроены IPSEC туннели. Трафик ходит, всё нормально работает.

Сейчас встала задача настроить резервирование туннелей так, чтобы при пропадании в головном офисе основного канала DFL-1600 мог бы поднять туннель до филиалов через резервный канал от провайдера ISP2.

Возможно ли такое на имеющихся у нас длинках? Если да, то как реализовать? Поигрались пару дней с некоторыми вариантами, но настроить не удалось. Помогите алгоритмом, очень надо сделать.
Заранее спасибо!

На DFL-210/800 - возможно
Сколько у вас в филиалах WANов - 1 или 2?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

wan-канал в филиалах один. резерв есть только в головном офисе

Тогда, просто указывайте в филиале remote endpoint'ом группу из двух интерфейсов главного офиса. В простом варианте (без настройки одновременной доступности обоих WAN главного офиса) все заведется.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

спс за совет. попробую такую настройку.

в головном офисе WAN каналы настроены в режиме failover - весь трафик идёт по основному каналу к ISP1, второй канал в это время целиком простаивает в резерве. PBR не настраивали.
Это как-то может повлиять или не существенно?

Это как раз обеспечит работу "треугольным" IPsec, все у вас верно.
Дополнительно учитывайте, что инициатором соединения в таком случае будут только удаленные (с одним WAN) DFL, поэтому настройте на них например keep alive или мониторинг туннеля, чтобы он всегда был жив.
А также... выключите DPD и NAT-T.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

настройка похоже правильная, но теперь столкнулись с другой очень неприятной проблемой: когда я отключаю провайдера ISP1 (тупо по физике выдёргиваю из д-линка патчи), то на DFL-1600 всё равно в таблице активных туннелей остаются висеть все туннели:

DFL-1600:/> ipsecstats
--- Active IPsec SAs:
Displaying one line per SA-bundle
IPsec Tunnel Local Net Remote Net Remote Endpoint
------------------ ------------------ ------------------ ------------------
Office-1 192.168.0.0/24 192.168.254.0/24 xx.xx.xx.90
Office-2 192.168.0.0/24 192.168.253.0/24 xx.xx.xx.67
test 192.168.0.0/24 192.168.1.0/24 xx.xx.xx.150

Ждал минут 15, всё равно не исчезают.

на DFL-210 в логах каждые 5 секунд одинаковая ошибка:
2010-08-09 19:04:48 Notice IPSEC 1800113 sa_lookup_failure drop
source_ip=102.4.79.24 dest_ip=xx.xxx.xxx.150 spi=9b1e0f78 seq=553 protocol=esp reason="ESP SA lookup failure"

Где 102.4.79.24 - wan-интерфейс DFL-1600 в сети ISP2. Т.е. он правильно замечает что основной канал в офисе пропал и начинает ломиться на резервный интерфейс. Но коннект не проходит видимо из-за того, что файрвол в головном офисе по-прежнему считает, что туннель живой. Если вернуть канал через основного провайдера, то туннель всё равно не встаёт. В логах та же самая ошибка, только source_ip меняется на WAN IP DFL-1600 из сети провайдера ISP1.

С проблемой разобрались. Если кому интересно, то предложение "выключите DPD" было в корне неверным.

Лучше резюмируйте, что надо и что не надо делать. Это может кому-нибудь пригодиться.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

… мне бы действительно пригодилось…
Столкнулся с такой же проблемой, пробовал настраивать по всякому (бьюсь уже третьи сутки), в том числе как написано здесь… в таблице активных туннелей они появляются, а пакеты не идут, когда отключаешь один из wan ов… (что бы они пошли необходимо тупо перезагрузить 1600!)…
Собственно вопрос будет ли такая схема работать “просто указывайте в филиале remote endpoint'ом группу из двух интерфейсов главного офиса” или надо как то по-другому?!
И надо ли “выключите DPD и NAT-T” ?
И почему “инициатором соединения в таком случае будут только удаленные (с одним WAN) DFL” ?
Заранее спасибо за любые подсказки !

Схема, когда в удаленном офисе создал Ip4-group из двух внешних IP-адресов DFL-1600 головного офиса, у меня успешно работает.

Инициатором соединения будет то устройство, через которое в туннель пойдёт трафик

NAT-T в виду полной ненадобности я отключал, DPD включал - он нужен чтобы файрвол мог определить что туннель упал и выкинул все неактивные IPSEC SA из таблицы. Настройка этих параметров одинаковая на обоих концах туннеля.

На эту тему хочу сделать замечание - это будет работать только с одной стороны т.к. фактически указание группы адресов в качестве endpoint'а делает туннель динамическим и DFL в жизни не будет его пытаться поднять, точнее не сможет этого сделать.

И еще - на DFL с двумя WAN должна быть не настроена одновременная доступность каналов или же должно быть сделано исключение т.к. отвечать в один момент должен только один адрес.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо что откликнулись , все делаю как показано, рассказано толку ноль… туннели образуются пинги не идут! Интернет переключается без проблем при отключении wan1.

“должна быть не настроена одновременная доступность каналов” ее не настраивал, настроил только failover согласно инструкции.

Danilovav, из другой ветки вашего ответа вычитал про мой случай такие настройки
Interface - wan1
Network - remote_ip1
Gateway - wan1_gw
Local IP address - не трогаем
Metric – 1
Это к чему?!

При создании IPsec туннеля стоит галочка “Add route for remote network” в обе стороны.

Для ясности хотел уточнить, а как DFL узнает в какой из wanов надо заворачивать IPsec ведь в main таблице IPsec gateway не указан?!

И самой интересно все это начинает работать если тупо взять и перезагрузить dfl,при любом подключении wanов.

Где мне нужно еще поковырять, что б заработало?
Спасибо.

А что "логи" говорят по этому поводу ?

У меня похожая ситуация есть DFL800 c 3-мя WAN, и DFL c 1 WAN, нужно настроить чтобы у 800 при падении 1ван, подимался тунель через 2, или 3 ван к 210. Эксперементировать пока не буду , подожду пока автор топика добъется нормального результата.

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

у него то как раз все работает как надо....