Здравствуйте!

Есть такая схема включения:
DFL-800-WAN1-WAN1IP-INTERNET
DFL-800-WAN2-WAN2IP-INTERNET
INTERNET-WANIP-DFL-200

На DFL-800 настроены два маршрута с мониторингом(по faq failover):
0.0.0.0/0 via wan1-gw metric 10
0.0.0.0/0 via wan2-gw metric 20

Кроме того, между DFL-800 и DFL-200 настроен IPSEC туннель.
При пропадании линка wan1 или неответа на arp шлюза, маршрут через wan1-gw отключается. Failover для хостов, находящихся в LAN DFL-800, работает.

Вопрос: как использовать автоматическое переключение с WAN1 на WAN2 в случае обрыва WAN1 для туннеля IPSEC?
Т.е., как настроить эту пару шлюзов, чтобы туннель работал по умолчанию через wan1, а при его обрыве через wan2?

Примечание: FAQ весь прочитан от корки до корки.

ничего менять не нужно, при такой схеме туннель поднимется на втором ване сам. единственное узкое место, это чтоб туннель установился. для этого, в качестве ремоут ендпоинт указываем два адреса (ван_айпи первый и ван_айпи второй).

IPsec failover работает только между DFL новой линейки.(210\800\1600\2500)

Так я уже пробовал - не работает. Периодически, туннель вообще подвисает и не может установиться, либо до перезагрузки, либо до удаления SA, соответствующих данному туннелю.

Может быть, как альтернатива для второго резервного туннеля поднять PPTP туннель? Но как тогда прописать маршрут на DFL-200, ведь он не умеет мониторить маршруты. И какой из двух одинаковых маршрутов на удаленную подсеть будет работать первым, неизвестно

Да, повозиться придется по-любому. По началу постоянно будут возникать глюки, непонятно чем вызванные. Приходится ковыряться в настройках/перегружать девайсы/танцевать с бубном, но в итоге должно заработать.
Проверьте, например, следующие настройки туннелей:
ike mode - aggressive
pfs - pfs
Ну и так далее...
Вот пример рабочего тунеля от Станислава, попробуйте построить туннель с идентичными настройками (кроме сети конечно)
show Interface IPSecTunnel 230

Property Value
-------------------------- --------------------------------
Index: 230
Name: RU_tunnel
LocalNetwork: InterfaceAddresses/lan1net
RemoteNetwork: nets/RU_net
RemoteEndpoint: all-nets
IKEAlgorithms: High
IPSecAlgorithms: High
IKELifeTimeSeconds: 28800
IPSecLifeTimeSeconds: 3600
IPSecLifeTimeKilobytes: 0
EncapsulationMode: Tunnel
AuthMethod: PSK (Pre-shared keying)
PSK: RU_psk
XAuth: Off
DHCPOverIPSec: No
AddRouteToRemoteNet: Yes
PlaintextMTU: 1000
OriginatorIPType: LocalInterface (Local interface)
IKEMode: Aggressive (Aggressive mode)
DHGroup: 2
PFS: PFS
PFSDHGroup: 2
SetupSAPer: Net (Per network)
DeadPeerDetection: Yes
NATTraversal: Off
KeepAlive: Disabled
Metric: 90
AutoInterfaceNetworkRoute: No
MTU: 1500
Comments: Tunnel_For_Roaming_NET