Здарствуйте!

не могу поднять ipsec failover
с одной стороны DFL-800 а с дугой два vyatta сервера разными ip
1. 10.33.48.200
2. 172.33.48.200
за ней сеть 192.168.40.0/24 (PC=192.168.40.100)

у длинка ван1=172.33.45.100
ван2=10.33.45.100 сеть за длинком 192.168.90.0/24 (pc=192.168.90.100)
сперва настроил по инструкции isp failover
проверил работает failover
потом настроил два ipsec интерфейса и т.д
припадении основного втрой впн не поднимается
(по инструкци приведенной на сайте длинка ipsec failover не работает)

У вас 2 канала с обоих сторон? Или с одной 1, с другой 2?
Я, например, тут писал на тему - viewtopic.php?t=127202

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

я прочел,
Спасибо!!!!, это то что мне нужно
у меня было по схеме 2 на 1 но я его убрал
и сделал 2 на 2 через промежуточные маршрутизаторы.
DFL1 WAN1--router--WAN1DFL2
DFL1WAN2--router--WAN2DFL2


в этих маршрутах какие метрики нужна установить

маршруты WAN1 и WAN2 какими должны быть ?

с разными метриками и мониторингом или по умолчании автоматическое выставление маршрутов?

Маршруты на WANы - как вам нравится
Смысл для IPsec favorier в том, чтобы были статические маршруты между соответствующими WAN DFL
А дополнительные маршрутизаторы... зачем?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Дополнительные маршрутизаторы нужны для симуляции ISP провайдеров.

объясните пожалуйста по подробнее правила маршрутизции

Есть же пример, делайте как там.
PBR для обработки пакетов из IPsec нужны для того, чтобы туннели после умирания поднимались мониторингом - устройство будет обрабатывать пакеты из туннеля в любом случае, а вот отправлять свои только в случае успешного мониторинга.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

первые два правила нужны для того чтобы соответствующий траффик исходящий через ваны приходили соответсвенно на теже ваны ?

второе два правила тоже так?

Эти правила - для обработки входящего трафика с интерфейсов, вне зависимости от того, есть ли на этот интерфейс маршрут/активный ли он. Первые два (wan1-2) - чтобы оба ipsec подняись, вторые (ipsec1-2) - чтобы восстанавливались маршруты.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

а разве статическими маршруты не поднимают IPSEC

у меня видимо мозгов не хватает понять !?

danilovav вам Огромное спасибо! и с наступающим новым годом, удачи во всем!!!!!!!!!!!!!!!!!

Спасибо, вас тоже
Вы правы - маршруты обеспечат поднятие и так
Пустите трафик в тоннели (мониторинг должен его создать) и смотрите по логам почему не поднимаются

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

по логам смотрю
если оборвать wan1 c первого файрвола сам файр переключается, но второй файрвол не переключается, IPsec поднят, видимо он думает или ждет ответы только от wan1.

В рабочем состоянии должны быть подняты оба туннеля
Проверьте по Status > Connections, приходят ли из них подключения

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

да в connection
с обеих приходят