на wan1 и wan2 разные провайдеры. настраивают VPN с DFL-1600 на wan1 DFL-800. Все работает. Пытаюсь первести туннель на wan2 на 800м (меняю адрес удаленного гейтвея на 1600м) - не работает. 800й режет соединение на wan2 по деволтовому правилу. Попытка создать второй ipsec на 800м не дала результата. Где я ошибаюсь?

Вообще в идеале нужно чтоб было два туннеля с автоматическим переходом с одного на другой при проблемах с соединением.

1) Если режет правилом, то наверно не хватает разрешающего правила? Что именно пишет?
2) Я уже писал в подобных темах, что ничего лучше мне пока организовать не удалось, чем
а) инициатор и принимающий (у него в качестве ендпоинта 2 алреса: ван1 и ван2 инициатора)
б) ну и соответсвенно роуты на инициаторе к ендпоинту с мониторингом для направления туннеля по ван1 (с меньшей метрикой) и тоже самое для ван2 (с большей метрикой)

"в качестве ендпоинта два адреса" -- всмысле поднимать два туннеля на разные эндпоинты?
в ручную роуты как правильно написать? приведите пример, пожалуйства.

1) на принимающем устройстве создаете группу адресов, в которую включаете 2 адреса: внешний айпи вана1 и внешний айпи вана2
2) создаете роуты на инициаторе:
ван1интерфейс - ендпоинт принимающей стороны - ван1гейт - метрика 50
ван2интерфейс - ендпоинт принимающей стороны - ван2гейт - метрика 60
примерно так. подробнее чуть позже