Помогите начать копать сразу в правильную сторону
имеется
офис dfl800
пров1-111.111.111.111
192.168.0.0/24

офис резервный канал l2tp билайн белый ип
пров2-222.222.222.222
192.168.2.0/24

удаленный офис dfl210 к главному офису IPSec
пров3-333.333.333.333
192.168.1.0/24

Резервный канал только появился.
Основная задача при обрыве канала пускать через резервный и создавать резервный туннель.
Через резервный канал надо пустить гостевую сеть wifi.
есть microtic routerboard750gl

Правильна ли схема:
микротик поднимает l2tp
выдает 192.168.2.10

dfl800
wan1 - пров1
wan2 - 192.168.2.10
IPSec на 333.333.333.333 через wan1
IPSec на 333.333.333.333 через wan2

dfl210
IPSec на 111.111.111.111
IPSec на 222.222.222.222

Где настраивать IPSec wan2 - удаленный офис? на микротике или на dfl800? Если на dfl каких портов достаточно пробросить?

а что DFL не может поднять L2tp ?
не городите ерунду . на форуме была инстрктажка про IPsec, даже я выкладывал .

гостевую отделите в отдельный Vlan , туда точку и при помощи альтернативной таблице выпускать гостей в интернет , заодно можно и скорость прижать им

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вот так она не умеет! Нельзя привязать IPSec к интерфейсу, он пойдет по текущей таблице маршрутизации, причем, по крайней мере в старых версиях -- только по main, PBR не работает (в новых прошивках не проверял). Поэтому в Вашей конфигурации можно сделать только один туннель, который будет перескакивать по резервированию интерфейсов. Лучше, конечно, обеспечить резервный канал и в филиале.

И как совершенно правильно сказал Владимир, на DFL можно сделать всё, кроме WiFi, для последней точку доступа можно подключить к порту DMZ DFL-800, после чего разрулить маршрутами и правилами как душе угодно.

Поднять может. вчера как раз настроил.
IPsec раньше работал через пров1
сейчас IPsec работает на поднятом на дфл800 L2tp. (пров1 рухнул)
Гости подключены к dmz.

подключение l2tp проплачивается. на нем 60 мегабит. не хочется чтоб пропадали. и гости, а их много бывает, просаживали офис.
поэтому то и мысль была с микротика получить wan2, два порта на две точки wifi, и облакоcrm воткнуть.
Все раздельно. А основной канал если падает, то раз в году...
может и ерунду.. поэтому и спрашиваю

alex63
можно создать один туннель . и его переключать в качестве RemoteENDPoint указывать гуппу из адресов , а маршруты до этих адресов прописывать через таблицу MAIN, и все пойдет .
даже мурзилка есть на эту тему .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку