Здраствуйте.
Для начала небольшой недочетик. Фаервол настроен. Провайдер выдает внешний IP через VPN-соединение. Тут все нормально. Далее мне нужно поднять VPN-сервер на этом внешнем IP. Недочетик состоит в том, что мне приходится добавлять VPN-сервер с полем "Outer interface" равным any, так как там нет интерфейса клиентов. Это не критично, но все же можно потом в следующей прошивке это предусмотреть?
А теперь основной вопрос. Есть главный офис и 3 маленьких. Соединены между собой через 2 тунеля каждый (основной и резервный). У основных тунелей стоит мониторинг. Но почемуто они не хотят переключаться на резервные (даже если я внаглую беру и вытаскиваю кабель из wan1). Из-за чего это может быть? Заметил еще при этом логи не открываются. Такое ощущение, что фаервол не справляется с тунелями, пытается установить соединение, а у него ничего не выходит и слегка подвисает.

Не совсем понятно, что же вы хотите? Кто вам мешает выставить в Outer Interface Filter не any, а WAN?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Я хочу, чтобы техподдержка сделала возможным в "Outer interface" вы бирать интерфейсы из PPTP/L2TP Clients. А щас там нельзя так выбирать.

А вообще за какое время тунель, который мониторится по линку, промаркируется, что он не рабочий???
Wan1-интерфейс отметился крестиком (т.е. он не рабочий). А вот тунель, который к нему привязан помечен как активный и весь трафик пытается послать туда. Резервный не включается. Как бать?

про outer interface знаем и это уже обсуждается с разработчиками. Как уже замитили соконфники, нужно пользоваться ANY.
Про какие туннели идёт речь? Про PPTP? Тогда они не будут отваливаться по причине доступности через второй WAN(активный).

Про IPSec-тунели. Допустим я нахожусь в главном отделе. Один из маленьких офисов сидит на резервном инете. Все нормально. Нерабочие тунели промаркировались. Затем мне нужно сделать кое-какие изменения на этом фаерволе. Нажимаю сохранить. Крестики с нерабочих тунелей сбрасываются, а обратно не становятся. Из-за чего это может быть? Не может быть это из-за того, что настройку фаервола я веду удаленно через PPTP-тунель? (он как раз для таких случаев и предусмотрен - чтобы не ехать в этот офис)

Вы хотите сказать, что при активации конфигурации возникает проблема с наблюдением за туннелями?

Помоему проблема не в наблюдении. В логах пишет постоянно, что тунели пытаются создаваться. Как может быть так, что wan1 закрыт, а тунель, к нему привязанный, - нет? Может я что нитак настроил?
Методика настроек:
1. настроил wan1 и wan2;
2. для wan1 метрика 90 + мониторинг;
3. для wan2 метрика 100;
4. далее создаю два тунеля с соответствующими конечными точками;
5. для первого тунеля метрика 70 + ставлю мониторинг;
6. для второго метрика 80;
7. и напоследок указываю, что первый тунель делать через wan1, второй - через wan2.
Меня интересунет последний пункт. Он делается через таблицу маршрутизации. Вопрос: нужно ли ставить мониторинг для строки маршрутизации, которая указывает что первый тунель нужно делать через wan1 или нет?
Я поставил!

Ау??? Есть кто???

Создание ipsec_failover описано вот в этом документе:
ftp://dlink.ru/pub/FireWall/How%20to%20 ... ilover.doc

Этот документ я уже читал, основные мометны так и настроил, но там не все расписано. Например, нет того, что первый тунель должен строится через wan1, а второй - через wan2. Вот как раз и хочу узнать ньюансы. А именно где нужно (а где ненужно) ставить мониторинг:
1. wan1 - чтобы если он отключился - инет в сети шел через wan2;
2. первый тунель - чтобы если отключится основной тунель, включался резервный;
3. нужно указать, что первый тунель создается через wan1, второй - через wan2
Как раз третий пункт интересует, нужно ли там делать мониторинг?

Ну так что там с мониторингом?

1. Для этого использовать PBR, см. тему в топике.
2. Как это сделать описано в приведенном faq.
3.Это делается маршрутами, создаётся моршрут до конечной точки через нужный wan, эти маршруты мониторим.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.