Ситуация следующая. Есть головная организация с внутренней сеткой 10.0.0.0/16. Есть удаленные филиалы, которые, пользуясь услугами провайдера А, подключены к корпоративной сети организации по vpn. Также в офисах есть провайдер Б, который лишь предоставляет доступ в интернет. Для того, чтобы офисы попадали в корпоративную сеть, используя провайдер Б, на центральном маршрутизаторе(cisco 2851) в конторе поднят pptp-сервер.

Хотелось бы сделать примерно следующее, удаленные офисы работают с конторой, используя провайдер А на wan1, когда он падает, то сразу же поднимается pptp-соединение, используя провайдер Б на wan2. Использовал faq c failover. Так, как хотелось, не заработало.
Во-первых, непонятно, как указать pptp-клиенту, что для подключения нужно использовать только wan2 интерфейс ? И, во-вторых, какую сеть нужно указывать в remote network в параметрах pptp-клиента, и какие все-таки маршруты правильнее всего прописать ?

Сейчас ситуация такова, что когда все включено, pptp постоянно пытается законнектиться по wan1 и не может, т.е. по wan1 нет доступа в интернет, а только в сетку 10.0.0.0/16.

Прошу Вашей помощи по данному вопросу, заранее спасибо

Я думаю нужно прописать 2 маршрута от CORE к PPTP-серверу с разными метриками. И настроить на них файловер по пингу. По идее когда WAN1 упадет, PPTP должно само переподняться на WAN2.

_________________
D-Link DFL-860E (2.30.01.06)
D-Link DGS-3612G
D-Link DGS-3200-10
D-Link DES-1228
D-Link DES-1200-28

Автор, используйте Dial on Demand на клиенте PPTP. А еще два маршрута до головной подсети - с меньшей метрикой через основной VPN (плюс мониторинг там), а с большей - через PPTP на WAN2. Тогда в обычном режиме клиент PPTP через Б подниматься не будет. В случае падения А таблица роутинга пометит маршрут туннеля через А как мертвый, и станет слать через туннель на Б. Вот тут-то клиент и поднимется. Но, разумеется, он захочет подняться через А, т.к. endpoint входит в all-nets. В этом случае либо мониторить маршрут до all-nets, либо сделать два маршрута до VPN endpoint в головном офисе через А и Б, причем А - мониторить.
Правда, я не совсем понял фразу "по wan1 нет доступа в интернет". Вообще или когда падает Инет? Проясните этот момент подробнее. Оба ISP предоставляют Инет, или один из них только VPN. И в каком пространстве находится VPN-концентратор - в Инете или частных подсетях.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Нельзя ли подробнее, что он дает и как правильно его использовать в моей ситуации ?


Провайдер А, который подключен в wan1, не предоставляет доступ в интернет как таковой, он организует подключение филиала к нашей корпоративной сети vpn, организует канал между сетью филиала и центральным маршрутизатором в головном офисе.
По сути филиалам интернет как таковой не нужен, нужен доступ к сервисам, которые находятся в сети головного офиса. В этой связи провайдер А напрямую предоставляет этот доступ, а провайдер Б дает обычный интернет, который используется для организации pptp-туннеля между удаленным филиалом и центральным офисом (конкретно cisco).

Начнет поднимать туннель только тогда, когда есть желающие отправить пакет через него. А эти желающие появятся только тогда, когда согласно таблице роутинга до подсети 10.0.0.0/16 будет единственный маршрут - через туннель на Б.


В головном офисе Интернет, тем не менее, все равно есть. И там же установлена циска, которая выступает в роли VPN-сервера. Ну тогда все проще.
В офисах какие устройства стоят?
DFL-800 - именно в головном, как я понял?
В роли PPTP-сервера будет все равно выступать циска или можно и на DFL перевести эту роль? Если исключительно циска, то где она находится - за DFL или отдельно со своим белым IP?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Да, в головном офисе, где установлена циска, Интернет есть, но там несколько иная схема, которая в данной задаче роли не играет.
Провайдер А,провайдер Б и DFL находятся в удаленных филиалах, а в головном офисе - циска. Основной момент во всей этой схеме - чтобы между сетью филиала и циской был постоянный канал. В этой связи провайдер А сам организует канал между филиалом и циской (заключен отдельный договор с ним). Провайдер Б предоставляет обычные услуги подключения к интернету. И для того, чтобы с помощью провайдера Б филиалы были подключены к циске (у которой есть белый адрес, видный из Интернета), на ней поднят pptp-сервер. А на DLF'е в филиале поднят pptp клиент.

Тогда так:

1) Route WAN1 10.0.0.0/16 metric 100 (включаем мониторинг маршрута по пингам како-нибудь удаленного хоста)
2) Route PPTP_client 10.0.0.0/16 metric 110

Только я не понимаю тогда, почему PPTP клиент пытается подняться через WAN1, на котором Инета нет. Видимо, в настройках интерфейса WAN1 есть галочка "Automatically add a route ..." и "Automatically add a default route ". Их надо снять, а маршруты выше прописать вручную. Если Интернет на WAN2, то прописать маршрут до all-nets через него, если не прописан. Если не получится, тогда придется показать таблицу роутинга.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)