Есть ДФЛ 860 и удаленный ДСР1000.

На ДФЛ настроено -

1.Два провайдера.
2.Резервирование.
3.Одновременная доступность обоих ванов снаружи.
4.Резервирование айписеков.

На ДСР настроено -
1.Один провайдер.
2.Пара туннелей на ДФЛ (один основной, второй резервный)

На ДФЛ в правилах маршрутизации прописано - недоступность второго вана при рабочем первом (это для корректного переключения айписеков со стороны ДСР) + стандартные альтернативные таблицы для одновременной работы двух ванов с олл сервис.

Всё работает.

Вопрос - почему при данной схеме только ДФЛ может быть инициатором туннеля?
То есть - работает основной айписек, происходит обрыв вана (ДФЛ) и переключение на второй ван (ДФЛ) - дальше, пока я не пущу пинг в удаленную сеть, резервный айписек на ДСР не поднимется. У удаленщиков, в этот момент, пинг в мою сеть (ДФЛ) не идет.
Установка галки KEEP ALIVE AUTO на туннеле со стороны ДФЛ проблему решает и туннели на ДСРе начинают переключается с первого на второй и потом (когда первый ВАН на дфл раздупляется) обратно на первый, но хотелось бы понять принцип работы?

Статических маршрутов на удаленный ДСР не делал.

_________________
понял настроил забыл

Не знаю как на DSR, но на DFL динамический туннель с несколькими endpoint'ами не может сам инициироваться. Возможно, тут у вас аналогичная ситуация.
Касательно keep alive auto, лучше включайте DPD + делайте отдельную таблицу маршрутизации, в которой через мониторинг постоянно пускайте пинг во все туннели для поддержания.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо за ответ, но наверное я не совсем точно выразился - на ДФЛ один туннель (два вана, два провайдера) - На ДСР два туннеля (основной и резервный) и один провайдер, т.е схема 1+2.
Вместо включения Keep Alive auto пробовал прописать в мейн статический маршрут айписека (айписек-ремоутнет и в мониторинге ставил лан айпи ДСР), потом выключал первый ван на дфл и всё. Маршрут просто становился не доступным и естественно ничего на ДСРе не переключалось.
да и потом, зачем мониторить единственный маршрут?

Обнаружил ещё одну вещь -

напрямую с ДФЛ через TOOLS могу пинговать удаленную сеть айписека ДСР.
напрямую с ДСР через System check не могу пинговать удаленную сеть айписека ДФЛ.
может в Этом Собака порылась?

правило пинга на ДФЛ - айписек/ремотнет - core /lan_ip - ping inbound есть (галка pass returnd ICMP включена) и на тачках подключенных к айписеку ДСР лан_айпи_ДФЛ пингуется, но только после того как я со стороны ДФЛ подниму туннель пингами или кип элайвом.

_________________
понял настроил забыл

Мониторить надо не в main, а альтернативной таблице.
Смысл - постоянный небольшой трафик в туннелях.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

вот такого я никогда не делал. могли бы пример привести как прописать альтернативную таблицу для айписека и что мониторить?

_________________
понял настроил забыл

Routing > Routing tables
Добавляете новую таблицу monitoring
Добавляете в нее маршруты, например
wan all-nets wan_gw 100, icmp мониторинг на 8.8.8.8. Если у вас L2TP/PPPoE соединение, шлюз не нужен
ipsec ipsec_remote_net <no gw> 100, icmp мониторинг на ipsec_remote_dfl_lan_ip

Больше делать ничего не надо, DFL будет генерировать поддерживающий трафик.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо сегодня попробую..

_________________
понял настроил забыл

работает! спасибо. иными словами от кип элайв избавились )))
вообще, начинаю приходить к выводу, что если терзают сомнения, что что-то "не так работает" или "не работает" на ДФЛ.. так это гордыня конечно, как поговарил Марселс Волес)))
Fuck Pride! - это всего лишь значит, что что-то либо недонастроено либо настроено неправильно.

_________________
понял настроил забыл