День добрый.

Существует ситуация. ЦЕНТР - используется dfl-800. Несколько десятков переферий - используются dfl-800/210.
Переферия держит vpn PPTP на центр, тем самым обеспечивая доступ пользователей переверийных офисов к серверам центра.
Добавлю (думаю это упростит вопрос). Объединение сетей не происходит, т.е. в центре никакие маршруты не пишутся а переферия пропускает пользователей сквозь vpn через NAT (т.е. получается что к центру подключаются не удаленные сети, а единичные пользователи).

Теперь встал вопрос о резерывировании Интернет-канала в центре. Т.е. в центре получится две точки входа (два разных ip-адреса).
Как это будет организовано - на одном dfl-800 или на каждый канал по dfl-800 - не решено. Конечно лучше вариант по отдельному устройсту на каждый из каналов.

В связи с этим возникает вопрос - как заставить переферию подключаться к резервному каналу центра (устанавливать vpn на второй ip), если основной канал в центре загнулся?
Может поднимать на переферийных точках сразу две vpn (к основному и резервному ip), и мониторить маршрут? Если первый умер, срабатывает второй?

Неужели вроде бы такое "крутое" оборудование, гордость ДЛИНКа (с супер функцией sat_slb) - а как только появляется резервный канал, тут же сливает и оказывается полным отстоем?

Короче, какие реальные (реальноработающие) варианты существуют для описанного случая? Может кто подсказать?

Есть FAQ по резервированию IPsec - http://www.dlink.ru/ru/faq/85/575.html

На практике его повторить полностью не удалось (ввиду отсутствия под рукой 2х DFL с возможностью вырвать из жизни), но частями очень даже работает.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

спасибо за ссылочку.
примерно в таком направлении мои мысли и шли...

на письмо в техподдержку мне ответили что в vpn pptp нельзя указать два адреса, на вопрос о создании сразу двух подключение и мониторинга маршрута с автоперключением - ответа не получил.

Поэтому решил написать тут, что бы исключить возможность что какое-то письмо не дошло/потерялось.

Ворпос к техподдержке. Так могу я взять dfl-800/210 и настроить на работу с двумя ip-адресами центра (двумя vpn_pptp-серверами, основным и резервным с автоматическим переключением в случае отказа основного)?

up.
хотелось бы услышать техподдержку...

Вы не сможете поднять два PPTP подключения с разных wan на 1 IP адрес.

Сформулируйте ваши вопросы тетче.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Есть удаленные точки. Они поднимают vpn pptp в центр. В центре dfl-800, на удаленных dfl-210 и dfl-800.

В центре планируется организовать резервный канал. Т.е. в центре будет два ip-адреса для подтключения (у удаленных точек канал в Интернет как был один, так и остается).
Встает вопрос, как сделать так, что бы удаленные точки, если в центре основной канал упал, могли автоматически переключится на роботу по второму каналу цетра? Т.е. впн переподключить по другому адресу?

Мои мысли.
В свойствах впн-клиента нельзя указать основной и резервный ip-адрес для подключения, только один.
В связи с этим возможно использовать иной алгоритм?

например:
-В центре имеются два канала, каждый обслуживает отдельный dfl-800 (по одному на каждый канал), на каждом поднят vpn-pptp-server.
-В удаленных точках поднимаются сразу две впн, и к первому и ко второму vpn-серверу центра. При этом происходит мониторинг маршрута на удаленную подсеть. В нормальном режиме все работают через первую впн. Но если она отваливается, то маршрут доступа к сети центра перепрасывается на второе vpn-соединение.

Для примера, у вас есть инструкция как настроить автоматически перевод канала интернет на порт wan2, если канал на порту wan1 отвалился. Вот что-то подобное сделать, только не для портов wan1/2, а для соединений vpn-client 1/2.

Такой момент реально сделать? DFL сможет четко определить что соединение vpn-client не функциклирует?
Или может быть есть более лучшая схема?

На мой взкляд есть.

Филиалы:
настроить dynamic IPSec (не указывать remote endpoint)


Центр.

Настроить IPSec тоннели и включить keep alive. Как только основной канал упадет, DFL поднимет IPSec уже через другой канал автоматически.


P.S. можно наоборот, PPTP Сервера в филиалах, а PPTP клиенты в центре. DFL в цетре будет поднимать эти тоннели согласно таблице маршрутизацииб т.е. как только wan1 отключиться по failover, тоннели автоматически поднимутся через wan2.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.