Добрый день
есть DFL860 и Fortigate оба подключены к двум провайдерам.
Между ними поднят IPsec у обоих на WAN1 все работает.
Дошли руки решил поднять туннель и по WAN2 отказоустойчивость так сказать(мануалы читал ).
Сделал абсолютно идентичные настройки с учетом того что все через WAN2 пойдет (на DFL туннель даже клонировал) только PSK другой сделал не работает.
Так как все находится в эксплуатации решил не трогать пока маршруты до выходных поднял еще одну LAN на Фортигейте а на ДФЛ сеть DMZ решил использовать. (якобы совершенно новые туннели для железок в новые сети).
как поднимется туннель сменю сеть и настрою маршруты.

Фортигейт Фаза1 пишет ОК

на DFL вот такое
ike_sa_failed
no_ike_sa
statusmsg="Timed out" reason="" local_peer="xx.xx.xx.xx:500 ID (null)" remote_peer="xx.xx.xx.xx:500 ID (null)" spi_i=0xe53d44ce9f29a6e7 spi_r=0x5ba911ec45c02b66 initiator=FALSE
2020-05-20

ike_retry_limit_reached
local_ip=xx.xx.xx.xx remote_ip=xxx.xxx.xxx.xxx cookies=0xe53d44ce9f29a6e75ba911ec45c02b66 reason="ISAKMP negotiation retry limit reached"

Что может быть при таких же настройках туннель рядом все работает (только IP и и интерфейсы разные)
настройки все перепроверил что еще посмотреть ?
пробовал менять настройки по всякому не помогло.

сделайте маршруты до IP Фортика с мелкой маской , и маленькой метрикой. Такие же на фортике .
Есть подозрение что при коннекте могут интерфейсы путаться

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

На DFL на втором/тестовом туннеле пробовал не создавать маршрут/создал вручную приоритет выше - ошибки те же.

Vldimir22 про маршруты не совсем понял имеется ввиду ?
есть wan1 allnets wan1_GW 90
есть wan2 allnets wan2_GW 100

добавить wan2 IP Фортика wan2_Gw 50 ??

Итог что имею
DFL-860 -------- FG
WAN1 ---------- WAN1
LAN ---------- LAN
все работает

DFL-860 -------- FG
WAN2 ------- WAN2
DMZ -------- LAN2 чтобы маршруты не путались
не работает настройки одинаковые кроме PSK (пробовал на двух DFL).

Эту же схему сделал только вместо DFL использовал древний Linksys которому сто лет и который уступает DFL-кe как запорожец мерсу , все работает на ура два туннеля живут.

только что сделал эксперимент повторил схему
пытался подружить DFL-860е и Linksys
все тоже самое 1 туннель работает второй не поднимается ошибки те же.
вывод дело в DFL

продолжая эксперимент DFL <---> Linksys
решил оставить только туннель Wan2 - Wan2 не работает такие же ошибки
на DFL сделал маршрут wan2 --> внешний WAN2 IP-Linksysy ---> wan2_GW метрика 20 ( Vladimir22 спасибо за совет).
туннель поднялся !
вернул еще туннель WAN1-WAN1 работает
итог оба туннеля работают !!

странно что DFL-ка путается в своих интерфейсах при работе хотя явно указано через что и куда ходить.

после на DFL аналогично добавил маршрут до фортика , но тут чуда не случилось нет второго туннеля.
в логах Info сообщение
ike_sa_created
local_ip=xxx.xx.xx.xx local_port=500 remote_iface=wan2 remote_ip=xx.xxx.xx.xx remote_port=500 local_id=xx.xxx.xx.xx remote_id=xxx.xx.xxx.xx local_ike_spi=0x7551404cc979f908 remote_ike_spi=0xa4f3727b378fd9e6 initiator=FALSE algorithms=3des-cbc/hmac-sha1-96/hmac-sha1/MODP_1024 mode=Main lifetime=28800 ikeversion=1 local_behind_nat=FALSE remote_behind_nat=FALSE initial_contact=TRUE mobike=FALSE
и больше ничего нет

заработало - надо было включить auto-establish на втором туннеле, первый туннель работает без него.
осталось теперь рабочий вариант настроить с рабочими LAN и мониторингом.