Между офисами имеется два канала от различных провайдеров.
В каждом стоит по DFL-800.
Локальные сети офисов связаны туннелем IPSec по одному из каналов.
Хотелось бы использовать оба.

Как правильно это реализовать?
Очевидное решение (создать второй туннель, с теми же Local и Remote Network,
но другими Endpoint и метрикой маршрута) как-то не срабатывает, туннели просто не поднимаются.

Естественно, такая схема не сработает, т.к. у разных каналов на одном устройстве должны быть со второй стороны различные сети, т.е. из одной сети нельзя поднять два канала в другие сети с одинакой адресацией - устройство просто не будет понимать, по какому каналу отправлять пакет. Решение о том, как отправлять пакет, принимается на основании Security Policy - правил, которые задаются адресами (группами адресов) источника и получателя.

_________________
best wishes, drserge

Сказали же -- два маршрута с разной метрикой. Задается на закладке Advanced при настройке туннеля. Или правила маршрутизации через IPSec туннель как-то по другому работают?

По-другому - в данном случае речь не о маршрутизации, а о Security Policies. В пределах IPSec клиента не может быть двух каналов на одинаковые сети.

_________________
best wishes, drserge

Ладно, как тогда добиться резервирования соединения сетей?

На самом деле Вы пошли правильным путём. Для того чтобы реализовать это нужно использовать PBR. И для каждого из провайдера создать 2 правила с разной метрикой. Одно основное, другое если приоритетный маршрут не будет найдет. Соотвественно если канал в интенет упадёт, то трафик пойдет по маршруты согласно метрике. Ну и соответсвенно поднимется тунель. Одновременно поднять туннель на 2-х провайдерах с одними и теми же сетями не выйдет.

Вопрос сложный. Можно, наверно, при падении одного подключения к провайдеру поднимать IPSec по другому, но это влечет невозможность использовать Main и необходимость использования Aggressive Mode (т.к. будут отличаться внешние IP адреса). Хотя, если я правильно понимаю, устройства поддерживают X.509, так что видимо надо использовать его (для IKE). Более точно ничего сказать не смогу, т.к. не общался с этой конкретной железкой .

_________________
best wishes, drserge

Т.е. делать как в "WAN failover for two ISPs using policy based routing.pdf"?
Но ведь каналы в интернет от одного провайдера в разных офисах не обязаны падать одновременно. Т.е. может получится так, что на одном конце таблицы маршрутизации переключатся, а на другом -- нет.
Как тогда нужно кофигурировать IPSec туннели?
Можно подробнее?
Скажем, так
1) Сеть офиса alpha -- 192.168.20.0
2) Сеть офиса beta -- 192.168.30.0
3) адреса от провайдера 1 (белые)
со стороны alpha -- a.a.a.a/30
со сторны beta -- b.b.b.b/30
4) адреса от провайдера 2(белые)
со сторны alpha -- c.c.c.c/30
со стороны beta -- d.d.d.d/30

Может, техподдержка d-link поделится-таки рецептом, как на DFL-800 сделать VPN между двумя офисами с резервированием каналов? А то тот cookbook, что идет вместо документации, не помогает.

Поддерживаю эту мысль.
Мало того, у меня есть такая схема - 2 офиса, по 2 канала в каждом, по 2 туннеля между ними. НО!!! Для доступа через резервный туннель используются ДРУГИЕ (дополнительные) адреса "удалённой" сети. Так что "drserge" сказал правду, но Вы что-то понять его никак не можете. При чём тут маршруты и метрики? Запись в SPD определяется сочетанием параметров источника и получателя (адрес, маска, порт и т.п.). Кроме всего прочего, мне, например, пришлось прикрутить ещё и Source Based Routing... Но это всё не на Д-Линках...

Мало того, есть ещё IKE, если Вы его используете... Так пляска с бубном ещё похлеще - она даёт реализовать схему 1 канал в одном офисе и 2 канала в другом - только 2+2.

Так что не надо голословно говорить что всё так просто... Попробуйте - поймёте...

Изначально имелось ввиду использование одного единственного канала. Ни о каких двойных речи не велось.
При падении одного из каналов тунель поднимается по верх резервного.

То есть как это "Изначально имелось ввиду использование одного единственного канала"??? Я слепой? Или у нас разные форумы?
Читаем внимательно первую строку темы:
[/b]

В дальнейшем речь шла о резервировании тунеля IPSec. Подразумеваятся поднятие туннеля, но уже через другой WAN интерфейс.

Интересно...
А что при этом будет делать вторая сторона? Как она будет отслеживать изменение адреса противоположного конца туннеля? И IKE как на это будет смотреть?
Или Вы имеете ввиду что-то, назовём это, "динамической конфигурации"? Когда один из peer-ов не имеет жёсткого адреса? Но два динамических peer-а то уж точно совместно не живут...

Эта функция називается VPN failover она доступна в бэта версиях прошивки и мы в данный момент её тестируем. Как только все тесты пройдут обнародуем результаты.