Добрый день, прошу помощи. Читал FAQ с примерами типовых решений и реализаций, но к сожалению так и не могу настроить.

Постановка задачи.
В двух офисах есть DFL260E v2.27.30.03
В ЦО провайдер отдаёт статикой иНет по wan, в филиале 2 провайдера, один отдаёт иНет статикой по wan, другой динамикой-статику по dmz
В ЦО развёрнуты AD, DNS, RDP, своя лок. сеть, в филиале своя лок. сеть без ресурсов

- Нужно при любых условиях иметь возможность управлять DFL филиала из ЦО, конечно за исключением когда в филиале иНета нет вообще.
- Нужно построить 2-ва IPSec тоннеля, от филиала с отказоустойчивостью. Основной тоннель через dmz провайдера, до ЦО для доступа к ресурсам AD, RDP, и прочему. Т.е. когда иНет совсем падает на dmz, а соответственно и тоннель, шло переключение на тоннель по wan.
- Нужно в филиале организовать балансировку и отказоустойчивость иНета, для своей лок. сети, но с использованием DNS ЦО.

Не работает отказоуст. IPSec, и при настройке 2-х тоннелей теряется доступ к внут. ресурсам ЦО, а так же совсем не раб. баланс. и отказоуст. иНета в филиале. Все примеры описания, что попадались, описывают случай когда на обоих точках 2-ва провайдера. Я уже начинаю думать, что мой вариант не реализовать на DFL-ках. Помогите пожалуйста.

Прикладываю рисунок-схему, как должно работать, извините за его корявость.

Быть может мои вопросы глупые, но помогите пожалуйста реализовать задачу, уже который день не могу настроить, хотя бы ссылками на грамотные примеры.
Вот здесь находил описание балансировки каналов иНета, описаны нюансы отличающиеся от оф. инструкций, но всё равно не работает -

К сожалению многие инструкции по настройке DFL написаны по принципу "Как не надо делать".
Мне удалось настроить следующую схему:
Есть центральный офис, на нем DFL и два провайдера. Есть второй офис, на нем DFL и два провайдера. Есть много магазинов, и на них тоже DFL и два провайдера.
Настроена автоматический переход на работающего провайдера.
Со всех магазинов подняты по 4 тунеля VPN IPSec в Офис:
Маг.Пров1 - Оф.Пров1
Маг.Пров2 - Оф.Пров2
Маг.Пров1 - Оф.Пров2
Маг.Пров2 - Оф.Пров1
А также со всех магазинов подняты по 4 тунеля VPN IPSec в Офис2.
Описывать словами мне лень - я наделал много картинок с живого магазина, предварительно заменил названия и адреса. Получилось 41 картинка.
Если администрация форума не заблокирует меня и у меня хватит терпения - я постараюсь все картинки выложить и написать краткие комментарии.

Начнем:
Адресная книга:

2

Туннели 1,2,5,6 одинаковый, отличаются адреса и ключи шифрования

продолжение

Туннели 3,4,7,8 тоже одинаковы, отличаются адресами и ключами. Главное отличие от туннелей 1,2,5,6 - своя таблица машрутизации, её нужно создать заранее, но саму её выложу позже (чтобы не запутаться)

Продолжаем

В таблице маршрутизации создаем отдельную таблицу маршрутизации для туннелей 3,4,7,8
А также таблицы возврата пакетов для WAN1, WAN2, а также 8 таблиц для возврата трайика в туннели IPSEC.

Таблица Main. На строки 2 и 13,14 не обращаем внимания - они вам не нужны

WAN2_DMZ - Мониторим линк

PPPoE_WAN1 - мониторим линк и 4 публичных ДНС сервера

Продолжение
Правило 4 - все аналогично, для WAN2

Правила для туннелей VPN IPSec строки 5-12 одинаковый, кроме метрик и порядка

Продолжение
Мониторим удалённый роутер через туннель VPN IPSec