Здравствуйте,
объясните пожалуйста почему так надо делать? Я проверил, что да, без этого не работает, но не пойму почему без этого не работает?
Приведенные действия надо выполнить на обоих DFLях
1. Делаете для каждого туннеля отдельную таблицу маршрутизации и добавляете туда единственный дефолтный (для простоты) маршрут на соответствующий туннель
2. Добавляете правило PBR
Forwarding table: main, return table: <альт.таблица туннеля>, <туннель>/all-nets -> any/all-nets
3. Делаете правило на удаленном DFL allow <туннель>/<ваш DFL> core/lan_ip ping
4. Включаете мониторинг маршрута на туннель при помощи пингов до удаленного DFL и выключаете все остальные виды мониторинга.
Как итог - все входящие пакеты из туннеля у вас обрабатываются вне зависимости от мониторинга - ибо в другой таблице маршрутизации. Это позволит поднять маршрут при возвращении туннеля. А мониторинг позволит не пускать в туннель трафик при падении.
Относительным минусом (это зависит не от DFL или реализации, просто сети так работают) является то, что даже когда у вас основной канал вернется, существующие длинные коннекты (например, RDP) будут продолжать идти по ранее установленному (резервному) каналу. Переключить прозрачно на 3 уровне их нельзя.
+++++++++++++++++++++++++++++++++
и ещё - я правильно понимаю, что вот это
https://www.dlink.ru/ru/faq/331/1724.html - тоже самое, но более конкретно, указаны настройки, а у danilova общий вариант?
со слов -
Для обработки входящего трафика мониторинга от DFL-260E, необходимо создать альтернативную таблицу маршрутизации и правило маршрутизации. Это необходимо для обработки входящего трафика если VPN тоннель tun1 уже установлен, но система мониторинга еще не включила маршрут. В этом случае возможна не корректная работа резервирования и данные действия позволят избежать подобной ситуации.