Добрый всем...

Есть такая задача.
Есть два DFL-260E (DFL1 и DFL2)
На стороне DFL1 есть два провайдера, соответственно подключил их в wan и dmz и настроил failover для доступа в интернет. т.е. основной провайдер пропадает другой начинает работать

На стороне DFL2 один провайдер

между ними настроен туннель IPSEC site-to-site(на стороне DFL1 через основного провайдера). Требуется настроить IPSEC failover чтобы при пропадании основного провайдера поднимался бы резервный (что сейчас работает) и поднимался бы IPSEC резервный уже через резервного провайдера.

Настроил по инструкции ссылку на которую нашел на форуме. но там описание для двух провайдеров с обоих сторон. А как сделать для моего случая пока не понимаю. т.е. я настроил но резервный IPSEC не поднимается...

Два IPsec на одном канале будут работать только на сертификатах (слышал это утверждение от зарубежной ТП, но никак не проверю)
Реально рабочим вариантом будет "треугольник" - один IPsec, со стороны "одноканального" DFL2 делается группа из remote endpoint'ов удаленного DFL1
На удаленном через более приоритетные правила PBR надо запретить отвечать DFL2 обоими каналами - т.е. либо основной, либо дополнительный

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

А как это реализовать?? можно по подробнее рассказать!.

Заранее спасибо.

И если есть мысли насчет сертификатов, то был бы также сильно благодарен.

Сертификаты надо тестировать, у меня пока на это нет времени

Касательно треугольника, все в принципе достаточно просто

Делаете один обычный IPsec, на DFL с одним wan указываете в качестве remote endpoint группу из wan_ip удаленного DFL
На DFL с двумя каналами, если у вас настроена обработка входящих с wan2 через альтернативную таблицу, сделайте выше исключение обрабатывать входящие с DFL через main
В туннеле включите DPD, выключите keep alive

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Настроил.
Протестил.
Работает.. но есть одно но...

После восстановления основного канала ... как вернуть туннель на него, а то он как встает на резервный так и не уходить:-))
Нашел на форуме вот эту тему viewtopic.php?f=3&t=143778&start=15
НО там проблему так и не решили...!!

Ну Так как вернуть туннель на основной канал?? Кто нибудь разобрался?

Я данный треугольник разрулил через разные метрики в IPsec c мониторингом основного канала. Получается сразу есть 2 IPSec туннеля с разными метриками, скажем 10 и 20. Если канал с 10кой падает, то пакеты шуруют по второму, как только поднимается первый, всё возвращается на первый канал с метрикой 10. Причем стоит на обоих туннелях Keep alive чтоб мертвый маршрут не висел.
Еще, как вариант, вручную создать маршруты с разными метриками и с мониторингом состояния, по пингу удалённого узла.

а. как же вам удалось сделать 2 туннеля?? на удаленой стороне же 1 ip адрес!.

опишите подробнее если не сложно:-).

заранее спасибо.