Подскажите,
Мне нужно чтобы у меня шел коннект только через wan2 на нужный IP с той стороны при подключенном wan1, мне нужно это завернуть в другую табличку? Табличку я сделал как тут http://www.dlink.ru/ru/faq/85/576.html Но как мне завернуть в нее исходящий IPSEC чтобы он всегда шел только через шлюз второго провайдера и никогда через wan1, даже в случае недоступности wan2.

Т.е. цель wan1-wan1 и wan2-wan2, без перекрестных подключений.

Для этого надо только одну вещь: сделать в таблице main маршрут на точку приземления IPsec через wan2

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Пробовал писать такой роут. Работает только пока включен только wan2. Включаю wan1 (он основной маршрут), и начинается "no proposal choosen", "invalid payload type" и тп. Отключаю wan1 и все восстанавливается.

а метрики ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Метрики для этих нужных удаленных хостов через wan2 минимальны.
Да и трейсы с локальных машин идут так как нужно.

могут мешать ваши предыдущие настройки PBR выключите их все. и покажите status-routes

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

WAN1 отключен.

IPv4 Routing table contents (max 100 entries)
Flags Network Interface Gateway Local IP Metric
83.69.225.2XXX wan2 83.69.225.ХХХ 0
M X 255.255.255.240 wan1 80
255.255.255.248 wan2 100
192.168.2.0/24 lan 192.168.5.1 100
192.168.3.0/24 lan 192.168.5.1 100
192.168.4.0/24 lan 192.168.5.1 100
192.168.5.0/24 lan 192.168.5.1 100
192.168.6.0/24 lan 192.168.5.1 100
172.17.100.0/24 dmz 100
192.168.5.0/24 lan 100
M 192.168.7.0-.11.254 IPSEC_to_Clinic_dmz_tun 60
M 192.168.7.0-.11.254 IPSEC_to_Clinic_wan2_tun 70
192.168.7.0-.11.254 IPSEC_to_Clinic_wan1_tun 150
M X 0.0.0.0/0 wan1 31.13.21.ХХХ 80
0.0.0.0/0 wan2 83.69.225.ХХХ 100

WAN1 включен.
83.69.225.XXX wan2 83.69.225.XXX 0
M X 255.255.255.240 wan1 80
255.255.255.248 wan2 100
192.168.2.0/24 lan 192.168.5.1 100
192.168.3.0/24 lan 192.168.5.1 100
192.168.4.0/24 lan 192.168.5.1 100
192.168.5.0/24 lan 192.168.5.1 100
192.168.6.0/24 lan 192.168.5.1 100
172.17.100.0/24 dmz 100
192.168.5.0/24 lan 100
M 192.168.7.0-.11.254 IPSEC_to_Clinic_dmz_tun 60
M X 192.168.7.0-.11.254 IPSEC_to_Clinic_wan2_tun 70
192.168.7.0-.11.254 IPSEC_to_Clinic_wan1_tun 150
M 0.0.0.0/0 wan1 31.13.21.XXX 80
0.0.0.0/0 wan2 83.69.225.XXX 100

сделайте правильные wan1_net и wan2_net. укажите сетки. а не маски
должно быть нечто похожее на 83.69.225.0/24

воспользуйтесь сетевыми калькуляторами

после исправления покажите снова status-routes. Или у вас просто все наладится

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

"No proposal chosen"
statusmsg="Invalid payload type"
ike_sa=" Initiator SPI ESP=0xc2bd5f80, AH=0x4bac5cd2, IPComp=0x8152210"

у вас точка приземления IPsec через wan2 находится в той же подсети wan2_net?

с обоих сторон стоят DFL?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

С обеих сторон стоят DFL-860e 2.40.01.08-17754
Конечно каждый wan2ip каждого устройства попадает в маску, ему указанного.

Так-то это разные подсети, просто одного провайдера.

покажите status-routes обоих устройств в любом состоянии. по одному варианту на каждое

прошивку лучше, конечно, 2.40.04.08 for WW

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Я пока немного видоизменю задачу, чтобы все постепенно шло. Есть два одновременно поднятых IPSEC, ключи, точки. Короче все работает, маршруты живые. Нужно обеспечить переключение.
Первый канал через DMZ с самопроизвольно назначенной адресацией, маршрутизации нет, они видят друг друга напрямую. Второй канал - через интернет. Я хочу переключение каналов в случае
сбоя. Простое выдергивание кабеля работает. Дальше я пробовал ICMP удаленной точки, но он просто ничего не делает, в логах пусто. При пинге через интерфейс DFL все отлично, в логе отображается.
Т.е. он просто ничего не делает. Вопрос почему и что я не так делаю?

Может вам это надо?
viewtopic.php?f=3&t=165797

Сделайте пронумерованный список ваших проблем

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.