День добрый.
Ситуация такая.
Есть 2 роутера dfl-260 размещённые в разных городах.
На них открыт порт RDP (3389) для подключения на сервер, для возможности входа на роутер.
Поднял между ними IPsec, теперь RDP хочу закрыть, тоесть останется ТОЛЬКО внутренняя подсеть между серверами (городами).

Проблема вот в чём.
Настроено переключение канала с провайдера №1 на провайдера №2.
IPsec настроен только на провайдере №1.
Провайдер №1 падает (интернет), подымается провайдер №2 (интернет).
После восстановления подымается провайдер №1 (интернет), но...

Но IPsec не восстанавливается!
Если зайти на оба роутера в "IPsec Status" - "List all active IKE SAs" и удалить ключ, тогда роутеры
обмениваются новыми ключами и IPsec восстанавливается.

Но как зайти без RDP удалить ключ, если связь только по IPsec?
Ключ действителен примерно 8 часов, после чего он автоматом обменится и IPsec восстановится.
Но ждать 8 часов!!!

Помогите с вариантом решение проблемы, хочется изолировать сеть IPsec-ом, но пока ничего не получается, RDP всёравно остаётся, а это небезопасно.

Заранее благодарю.

1) Включите в свойствах IPSEC DPD (Dead Peer Detection).
2) Нужно зарезервировать и VPN, раз уж зарезервировали интернет. Лучше по схеме WAN1<-->WAN1, WAN2<-->WAN2 (на обеих концах нужно по два провайдера), но можно и WAN1<--->WAN, WAN2<-->WAN. Оба варианта неоднократно описывались на форуме.
3) Для аварийных нужд можно разрешить управление DFL через WANx (System/Remote Management). Т. к. используется шифрованный протокол HTTPS и можно ограничить IP-адреса, с которых разрешен доступ, это не опасно.

1) IPSEC DPD - по умолчанию было включено.
2) Этот вариант попробую, спасибо.
3) А вот этот вариант, очень даже интересен.

Больше вариантов решения нет никаких?

Мало?
У меня были "зависания" IPSEC при работе через NAT (NAT-T), без NAT ни разу не замечено. Связаны с "хитрыми" сбоями в канале, если просто выдернуть шнурок и снова включить -- обычно поднимается.
Делайте резевирование IPSEC!

Способ №3 - отличное решение, но есть один подводный камень, настройки не сохраняет, срабатывает защита от дурака:

You did not reconnect to the unit in time. It has reverted to using the previous configuration.

Вероятно, Вы разрешили управлять из WAN, а из LAN запретили . Создайте объект dfl_management типа IPv4 Group, вспихните туда lan_net и внешние ip, с которых собираетесь заходить. Затем в фильтре для HTTPS management -- Interface = any, Network = dfl_management.

еще вариант поднять на DFL VPN сервер , и к нему конектиться - затем о туннелю администрировать,

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Насчёт поднятия VPN сервера на DFL думал, но VPN сервер есть на винде, не хочется делать 2 сервера. Хотя по безопасности даже не знаю что надёжнее, или заходить на роутер по https с определённых внешних IP или всётаки поднять VPN сервер на DFL (сделать мощный пароль и только одного юзера, так как пароль входа на DFL по https слабенький).

А по поводу того, что не сохраняются настройки с ошибкой :You did not reconnect to the unit in time. It has reverted to using the previous configuration. - спасибо, получилось, добавил lan_net в группу с внешними IP и заработало

Ну, сложность пароля -- это в Ваших руках . VPN для входа на DFL смысла не имеет, другое дело -- если нужно попасть в локалку извне.

Извиняюсь, может вопрос не совсем корректный, но...

Saving configuration, please wait...
The changes have been saved, and the unit is now activating the new configuration.
You must reconnect to it within 30 seconds for the configuration changes to be finalized. If this fails, the unit will revert to its previous configuration.
Unable to determine new IP address, you need to manually determine the new IP address and enter it into the Web browser.

Борюсь с этой ошибкой и не могу понять в чём дело. Не работает.
alex63 - спасибо помог своим ответом, но как ни странно звучит, вначале работало сохранение настроек по внешн.IP, теперь не работает (спустя несколько дней).
Логики не вижу совсем, перепробовал уже всё что угодно, на роутере не менялось ничего, но отсчёт 15-ти секунд не идёт... И настройки не сохраняются. Внутри сети естественно всё ок.
Обращаюсь снова к вам господа, может я туплю в чём-то, но сил играться больше нет, работать не хочет. Help...

Вообщем решил я проблему.
Тот раз работало (не знаю почему) нормально, был отсчёт 15-ти секунд и т.п.

Сейчас работает, только в том случае, что после сохранения и активации настроек, я не просто перехожу по вкладкам System, Objects, Rules и т.п. (тем самым обновляя вкладки роутера),
а обновляю сам адрес: https://адрес (тем самым обновляя всю страницу с настройками роутера)
Фиг его знает что это, возможно браузер тупит

Перевод.
Невозможно определить новый IP адрес, Вам необходимо вручную определить новый IP адрес и ввести его в браузере.

Это не ошибка, просто DFL иногда (кажется, каждый раз, когда ей управляешь не через голый ethernet порт, а через туннель, например) не может определить ip, чтобы дать команду браузеру на автоматический переход. Просто нажмите кнопочку "Обновить" в браузере. Если при этом не вывалится подтверждение об успешном обновлении конфигурации -- значит поторопились, жмите еще раз.