Собственно даже не вопросы, а скорее вопросы-пожелания:
1. Будет ли реализован при запрете какого-либо объекта автоматический запрет зависимых объектов?
2. Будет ли возможность задавать метрику для маршрутов, создаваемых по опции "Dynamically add route to the remote network when a tunnel is established"?
3. Будет ли реализован DNS-relayer, аналогичный линейке DI?

Спасибо.

1. Специально сделано это, чтобы показать всю цепочку зависимостей, с одной стороны конечно не удобно, а с другой стороны предостерегает пользователя от ошибочных удалений. Это очень полезная фича.
2. Пока такой необходимости не возникало. Для чего Вам это?
3. dns relay реализуется с помощьбю правил SAT+NAT, подробности в FAQ:
ftp://ftp.dlink.ru/pub/FireWall/How%20t ... 0Relay.doc

Stanislav Kozlov



А можно напомнить о том, что в такой конфигурации для 210 модели теряется резервирование DNS сервера.

Можно отметить, что такой возможности на 210м _не существует_

1. Понятно для чего это сделано. И согласен, что фича полезная, особенно при удалении. Так же согласен, что автоматически определять какие зависимые объекты надо запрещать, а какие нет - задача нетривиальная. Поэтому вопрос снимается.
2. Было бы неплохо иметь эту возможность при реализации ipsec-failover в случае, когда один из туннелей динамический.
3. С указанным Вами документом знаком. Да это релей, даже можно карусель сделать. Но это не DNS-failover, которого очень хочется.

2. Не вижу смысла в исползовании для _fail_over_ динамического туннеля, это априори установка соединения с одной сторны и как можно обеспечивать отказоустойчивость на "полудуплексном" канале мне не ясно.
3. Расширения SAT_SLB или DNS_Relay кнопкой -- не будет.

2. Да именно так - failover надо обеспечить с одной стороны. Имеется DFL800 в офисе. Провайдер один, но надежный. В другом месте есть второй DFL800 с подключением к двум среднепадучим провайдерам, wan-failover настроен. Причем один из провайдеров предоставляет только динамический паблик-адрес. Надо обеспечить ipsec-failover с офисом. Также есть некоторое количество удаленных мобильных пользователей, которым надо обеспечить доступ в локальную сеть офиса. Сейчас эта схема реализована и работает. Но для обесечения работоспособности пришлось сильно занизить ipsec-lifetime для динамического туннеля. Также на втором DFL на одном из туннелей пришлось отказаться от keep-alive. Если бы была возможность задавать метрику для динамических маршрутов, то от вышеуказанных недостатков можно было бы избавиться.
3. Ясно. Жаль.

У меня было несколько подобных описанных Вами реализаций с динмическими туннелями, при использовании DPD, описанных Вами проблем не наблюдается. К моему динамическому туннелю обращяются
1. linux openswan
2. DS-601
3. DFL-210
Извините, но описанный Вами функционал полезен только в частном случае, функцию реализовать мы не сможем.

Тогда, если Вас не затруднит, подскажите как реализовать вышеописанную схему, чтобы проблем не было.

У Вас будет два туннеля.
1. Для работы статического провайдера с постоянным IP Обязательные настройки KeepAlive Auto + DPD.
2. Другой динамический для обеспечения работы как удалённых пользователей, так и альтернативного канала.

в удалённом офисе нужно оставить один канал.

Спасибо, попробую.

Станислав, спасибо. Ваша схема работает.