Здравствуйте, господа!

Такая вот задача:
Есть два офиса, в одном офисе стоит Dlink DSR-1000, в другом Dlink DSR-500, к каждому подключены по 2 интернет канала от разных провайдеров(все 4 разные).
Нужно организовать между офисами отказоустойчивый VPN туннель, то-есть если один из провайдеров падает, автоматом должно происходить переключение VPN на оставшийся рабочим интернет канал.
Получается, аппараты, должны уметь переключаться между 4-мя VPN-туннелями, пока не найдут рабочий. DSRы, насколько я понял могут только WANы переключать, а VPN, только руками.
Посоветуйте, пожалуйста, решение, заранее благодарен.

DFL-260E/860E. 4 варианта не получится, только 2 (Site1WAN1--Site2WAN1 и Site1WAN2--Site2WAN2, но этого обычно достаточно).

как раз на них можно крутить как угодно ,
можно IPsec поднять на сертификатах , но пока упоминаний об этом я не видел . некоторые пробовали - но информации такой нету .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Vladimir22, если Вы правда нашли способ на DFL (в варианте по два провайдера с каждой стороны) делать туннели накрест, поделитесь пожалуйста.

пост выше

у меня в распоряжении только 210-е , а на них так не получится - поэтому попробовать не смогу .

в теории полагаю должно выглядеть: не ключи - а сертификаты .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

alex63
Vladimir22
Господа! А поясните, плз, великую необходимость и целесообразность создания 4 VPN-ов на 2-х аплинках (с каждой из двух сторон)?
Ведь в конце концов все равно упираемся в живучесть аплинков.

да я ни чего не утверждал - я прсто рассказал что такая возможность существует - но достоверной информации -НЕТ о ее реализации , и я проверить не могу тк не имею в своем распоряжении такого оборудования .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

потому как, каналов всего 4 штуки, и для максимальной надежности, должно быть 4 VPN-а, вдруг единовременно, поотваливаются по одному из каналов на каждой стороне

shsv
Вы неправы. По 2 аплинка на каждой из двух точек дают реально 2 канала соединения между точками.
Ну, не хотите же Вы сказать, что по 1 аплинку на каждой из двух точек дадут 2 канала соединения между точками?

Точка А имеет аплинк_А1 и аплинк_А2
Точка Б имеет аплинк_Б1 и аплинк_Б2

Т.о. получается два канала:
аплинк_А1 - аплинк_Б1
аплинк_А2 - аплинк_Б2

Да, наверное, МОЖНО создать некие "перекрестные" каналы:
аплинк_А1 - аплинк_Б2
аплинк_А2 - аплинк_Б1
но, это будет IMHO бессмысленная избыточность. Т.к. не вижу, где здесь бОльшая отказоустойчивость, чем в случае с "прямыми" каналами. Все равно отказоустойчивость будет определяться количеством аплинков.
Именно поэтому чуть выше я и поинтересовался смыслом дополнительного создания "перекрестных" каналов.

Может быть я чего-то не знаю/не понимаю, но мне не кажется это бессмысленным, если падает А1 и Б2, то рабочими остаются А2 и Б1, почему бы не построить между ними VPN?

Конечно единовременно нет, но в качестве бэкап-политики, которая включается автоматом и подымает соответствующие VPN-соединение, почему нет.

Да. В этом случае согласен.
Но, в моем случае, А1 и Б1 - аплинки одного провайдера, А2 и Б2 - аплинки второго провайдера. И, до сих пор не случалось, чтобы именно так "перекрестно" происходило падение. Падает либо один из аплинков, либо сразу весь провайдер.

А у Вас как, бывали такие "перекрестные" падения?

PS. Кстати, спасибо. Натолкнули меня на одну мысль, которая может оказаться полезна в моем случае.

Пока нет, но у нас получается так, что "надежным" из 4-х провайдеров, можно назвать только одного, поэтому такой вариант, хоть и маловероятен, но возможен.

Не за что, вот бы и меня кто-нибудь натолкнул...

Насколько я знаю, на DFL (все модели на NetDefend OS) можно сделать только 2 туннеля в рассматриваемой конфигурации (WAN1--WAN1, WAN2---WAN2), но, конечно, не исключаю что, например, в новых прошивках появилась хитрость, позволяющая сделать 4. В реальности потеря не велика:
2 туннеля: защита от любого одиночного и 1/3 двойных отказов;
4 туннеля: защита от любого одиночного и 2/3 двойных отказов (если вырубятся оба линка с одной стороны -- все равно не поможет).

Vladimir22. А причем здесь сертификаты? Не работает накрест из-за маршрутизации.

это да, в этом случае можно по домам расходиться