Как правильно настроить DFL-800 чтобы при входящем соединении на WAN1 шлюз отвечал с WAN1 и аналогично при входящем на WAN2 отвечал с WAN2?

Работать это должно одновременно.

Дайте пожалуйста РАБОТАЮЩИЕ примеры.

Мозг уже сломал... на Linux с его iproute2 это делается на раз, тут что-то не получается.

http://www.dlink.ru/ru/faq/85/576.html

viewtopic.php?t=65359&start=14

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Это всё я уже проделывал.
Единственное что получилось - пинг входящий заработал.
IPSEC на WAN2 нет. PRB прописывал на сервис ipsec-suite и all_services тоже пробовал.
Судя по логам отвечать пытается по прежнему с WAN1

Сейчас часть филиалов (DFL-800) работает по IPSEC с центральным DFL по WAN1. Хочу некоторые перевести на WAN2 центрального DFL - не получается сделать грамотно.

Если добавить маршрут в main с жестким указанием ходить определённому филиалу через WAN2 - работает. Но не нравится мне это.

И может еще подскажете? Возможна ли вообще такая схема:

В центре 2 (WAN1 и WAN2) канала Internet, в филиалах 1 (WAN1)
Все работает между собой по IPSEC туннелям.

В центре падает, допустим, WAN1 - филиалы автоматом переходят на WAN2.

Сам такого не настраивал. Пока нет возможности. попробуйте это

http://www.dlink.ru/ru/faq/85/575.html

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

В этом примере и в филиале и в центре по 2 канала Internet

а какие устройства на другой стороне? (в филиалах)., какие у них внещние IP (static, dynamic?)

В центре DFL-1600 в филиалах DFL-800
Везде на интерфейсах статические адреса.

тогда ссылка что вам дал YuriAm вполне подойдет, разницы ведь нет 1 или 2 wan* у вас в филиалах- в этом случае ведь меняется всего 1 параметр для IPSEC -> remoteGW., смысл тот же - 2 тунеля в одну и туже сеть, просто с разной метрикой(и разными remoteGW для филиальнного DFL) ставите на монитор_route и всё, как только упал первый тунель(ну т.е wan1 в головном офисе не доступен, филиал отключает первый IPsec_тунель , и начинает работать второй(который настроен для подключения на 2й wan головного офиса).

Замечательно!

Всё кажется просто пока не попробуешь...
Если обратите внимание на первый пост в этой теме, то я там задавал вопрос как заставить устройство отвечать с того интерфейса на который пришел запрос.

У меня так и не получилось заставить устройство поднимать IPSEC туннель со второго интерфейса (WAN2) БЕЗ принудительного приписывания маршрута до филиала через WAN2_GW в таблице main.

Оно по прежнему пытается использовать WAN1

Дайте пожалуйста рабочий пример, если он конечно есть.

рабочий пример вам уже привел YuriAM в 2х ссылках выше.

Привидите вашу таблицу маршрутизации +PRB (обе main&alt) (при настройках где у вас настроен PRB ит.д , но ответ по прежнему уходит с wan1).
...лучше скриншшотами.

Таблица маршрутизации main
http://s52.radikal.ru/i135/0903/97/619ce6f8193f.jpg

Таблица маршрутизации alternate
http://i049.radikal.ru/0903/ab/238b765caaff.jpg

PRB
http://s57.radikal.ru/i156/0903/22/64b75c12db25.jpg

Правила
http://i020.radikal.ru/0903/7f/02ffe9d2cdcb.jpg

ping-inbound работает.

Всё верно по скринам, тоесть вы хотите сказать, если вы сейчас создадите в alternate таблице маршрут ipsec для удаленного офиса аналогичный как в main то это не работает?, или вы там просто ничего не создавали а только думали что в alternate ничего кроме маршрута для wan2 не должно быть, а считали что всё сделает Routing Rules ?

Маршрут в alternate я не создавал.
В примере с ping_inbound этого не требовалось.

Да и по логике вещей в alternate должно быть достаточно
одной записи, как у меня или всё таки я не прав?

Так маршрут всё-таки в alternate должен быть? С какой метрикой?

По поводу Routing Rules - в примерах везде описывается его использование именно для перенаправления траффика в альтернативную таблицу.

Если можно, опишите весь процесс прохождения пакета по фильтрам/правилам/таблицам при соединении с WAN2.
Как оно должно быть.

Что именно вы хотите добиться? Если Входящий IPSec, то в любом случае не поднимится если тоннель уже поднят c удаленного IP но на wan1.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Тоннель с филиала на центр НЕ ПОДНЯТ!

Я в филиале руками меняю endpoint для ipsec на адрес WAN2 в головном офисе и жду что произойдёт коннект на WAN2
И ничего.

Мне нужно обеспечить IPSEC подключение ЧАСТИ филиалов на WAN2.