имеем:
1. удаленный офис на несколько рабочих мест под WindowsXP
2. два провайдера: ADSL и оптика
3. DSL модем DSL-504
4. маршрутизатор с двумя WAN - DI-LB604
5. главный офис, с терминальным сервером за шлюзом.
6. шлюз в главном офисе на базе линукс, имеет PPTP, OpenVPN серверы.

задача:
1. максимально надежно обеспечить непрерывную работу р\мест (клиентов терминального сервера под WindowsXP) в удаленном офисе

на данный момент это решено так:
- DI-LB604 имеет статиком оба WAN, первый через оптику, второй - через ADSL модем (в режиме бриджа).
- WAN через оптику работает как основной, WAN через DSL - как бэкапный
- на клиентах запущен OpenVPN клинт, обеспечивающий доступ к терминальному серверу

результат не очень хороший. а именно при пропадании линка на оптике (у провайдера) DI-LB604 не может определить, что надо переходить на запасной вариант и в результате клиены теряют основной офис.
второй касяк: при переходе с основного линка на запасной, все равно возникает перерыв в несколько секунд, в результате чего, терминальный клиент (Citrix) рвет соединение сервером.

вопрос: можно ли как-то улучшить эту схему и избежать проблем с потерей сервера ?

спасибо

Нет, безболезненного перехода с одного WAN порта на другой сделать нельзя. При обрыве основного WAN порта все сессии, которые через него шли тоже завершаются.

А вот то, что роутер не переключается странно. У Вас какой тип контроля активности порта установлен?

Какой контроль активности сейчас стоит - не помню, надо ехать смотреть. А какой надо ставить ?

Главная печальная новость - что нельзя безболезненно переключать WANы, т.е. теряется большая часть смысла иметь это устройство...

может есть какие-то другие решения (аппаратные, программные) добиться безболезненного переключения провайдера ?

Kamikadze-2008
Вопрос не столько в устройстве, сколько в оконечнике - даст ли ваш софт возможность перехода сесси по разным айпам?
С вероятностью 97% он ее просто дропнет как попытку атаки

не так. удаленный офис подключается к главному через VPN (pptp, openvpn) поэтому с точки зрения как терминального сервера, так и терминального клиента, IP-адреса останутся неизменными - серыми.

другое дело, как этот момент отработает именно роутер. если бы можно было бы открыть на одном WAN один vpn-линк, на другом - WAN-другой, и грамотно настроить маршрутизацию, то с точки зрения терминального клиента ничего не произошло бы при смене провайдера. просто локальный трафик пошел через другой маршрут и все. подозреваю, что DI-LB604 этого не сумеет...

Если это так критично, то это можно реализовать практически безболезненно, при частой потери линка от основного провайдера, заменив роутер на дешевую машинку с unix.

видимо, так и придется сделать. просто, покупая железный роутер, куупились на рекламу про быстрый и незаметный пеерход с одного WAN на другой.

Не думаю, что сервер VPN будет продолжать поддерживать соединение если IP-адрес клиента вдруг изменится (на адрес другого WAN порта). Будь то машина с UNIX, WINDOWS ил DI-LB604

можно два туннеля поднять (или 2-й при разрыве первого подымать) с удаленного на один в центральном офисе и при разрыве основного менять таблицу маршрутизации - это доли секунды и клиент терминальный даже скорее всего моргнуть не успеет. На freebsd по крайней мере такое реализовывется без проблем.

будет работать. идея такая, что *никсовый роутер поднимет одновременно два VPN-туннеля. один через одного провайдера, другой - через другого. соответственно, командой ip route nexthop мы их введем в баланс, при этом с точки зрения локального пользователя в удаленном офисе, он будет находится в непрерырвном (пока работает хотя бы один WAN) соединении с офисом главным.