Добрый день, коллеги!
просьба помочь в нахождении ошибки. задача следующая - есть DFL-1660 к которому подключено два провайдера. основной на WAN1 и резерв по WAN2. также опубликованны внутренние сервисы и настроены PBR для доступа к ним в случае отказа основного провайдера. в данную связку нужно добавить ipsec тунель между DFL и VPS(Linux). Основная задача -сделать так чтобы завернуть траффик из LAN2 в тунель и выйти наружу natом через линукс. также порт открытый на линуксе должен пробрасываться на некую машину находящуюся в lan2net.
Что было сделано:
1. для начала была вята DFL-860E и VPS. настроен ipsec. все работает, в интернет выхожу через нат на линуксе, порт пробрасывается. проблем нет.
2. переношу схему на DFL-1660. проброс порта на машину за lan2net работает. пинг с VPS до машины работает, а пинги и веб траффик с этой машины не идет. насколько я понял тут что то с маршрутизацией. скрины правил ниже
альтернативная таблица:

главная:

правила маршрутизации

еще правила


ip правила

поставь после lan2net cвич и воткни (те) прямой провод от dfl, во всяком случае lan2net лучше обойти таким образом
в одну сторону все будет ходить через любимый lan2net и учитываться, а ipsec напрямую

а по хорошему - выкинуть тот лантунет нафик, купить подписку на дфл на контентную фильтрацию (и перейти на безлимитный тариф, если его еще нет), милое дело

а теперь настрйоки IPsec на DFL в студию . подразуеваю там что то не ладное в датском королевстве

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

на картинках ipsec
General


Authentication

Routing

ike

keep-alive

advanced

1 что я бы посоветовал
в роутинге снять галочку -IP aдресс автоматически там что то ... и прописать руками IP адресс удаленного шлюза ! не Remote END Point а именно шлюза .
2. убрать атоматическое создание маршрута - маршруты сделать рками два маршрута в таблице MAIN
1а - lan\lan-net remoteNet\ IPsec allservice metric 100
1b - lan\lan-net all-nets\ IPsec allservice mtnrik 110 , и расположить их в именно таком порядке .

не видя таблицу MAIN не смогу сказать в каие места поставить эти маршруты ...

ну и правила не забываем правильно писать

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

1. у меня IP адрес удаленного шлюза и IP адрес remote endpoint равны. т.к на той стороне VPS с ОДНИМ (внешним) IP адресом
2. ок. у меня remoteNet = all-nets везде 0.0.0.0/0
и про два маршрута не понятно. у нас есть интерфейс , сеть и шлюз с метрикой. а то что вы написали похоже на routing rules но без таблиц
текущая main

1. хорошо скажу по другому . удаленного шлюза в вашей подсети относительно туннеля .
2. судя по таблице - у вас нормально.
значит исходящие соединения отправляйте в туннель с правилами Allow/

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

коллеги, всем спасибо! Отдельное спасибо Александру Васильеву. решение ниже
2. ALT table
Interface-IPSEC | Network – ALL-NETS | 0
Interface-WAN1 | Network – ALL-NETS | Gateway - w1_gw 0
Interface- LAN2 | Network – lan2net | 0
MAIN table
Маршрут ipsec должен быть с наивысшей метрикой относительно wan1 и wan2
3. Routing Rules
A:
Forwar table – alt table
Return table – alt table
Lan2/lan2net – wan1/all-nets
B:
Forward table – alt table
Return table – alt table
Ipsec/all-nets - lan2/lan2net