Добрый день!

Можно ли на паре DFL-210<->DI-824VUP+ решить такую задачу:

1. На DFL-210 есть два WAN-соединения (WAN-основное,unlimit и DMZ-резервное,с дорогим траффиком), к разным internet-провайдерам, оба со статическими внешними IP.

2. На DI-824 - одно (естественно) WAN-соединение со статическим адресом.

3. Требуется: настроить один или более (сколько потребуется) IPSec-туннелей между устройствами так, чтобы соединение могло устанавливаться как по инициативе DFL-210, так и по инициативе DI-824, причем, если на DFL-210 соединение на WAN упало, туннель устанавливался бы через DMZ.

Пока при самостоятельных попытках решить задачу столкнулись с тем, что при наличии на DI-824 двух разных туннелей, направленных на одну внешнюю LAN сеть, в какой-то момент при установлении второго туннеля при неразорванном первом данные перестают ходить через IPSec.

К сожалению IPSec FailOver не реализован на устройстве.

Жаль

А правильно ли использовать такое "квази-решение":
имитировать fail-over не на уровне переключения каналов, а во времени - уменьшить IKE Life Time и IPsec Life Time на обеих сторонах до разумного минимума, скажем, до 30 секунд.

Таким образом, при обращении к туннелированной сети через 30 секунд после того, как WAN порвется, установится новый туннель но уже по маршруту через DMZ.
Основной возникающий здесь вопрос: не приведут ли такие настройки к ухудшению криптостойкости туннеля?[/b]