Есть два офиса, в одном dfl800 в другом dfl200\210. В DFL800 заведено 2 провайдера. Через ван1 IPSec поднимается отлично, меняю в настройках dfl200 адрес на ван2 пакеты дропятся: event=ruleset_drop_packet. Оба вана одинаково настроены, за исключением адресов. Подскажите куда смотреть.

Нужны еще разрешающие правила для ВАН2

правило как я понимаю должно сработать внутренее, по ван1 связь начинается с rule=IPSecBeforeRules, а по ван 2 оно не срабатывает а валится сразу на rule=Default_access_rule

Дропает пакеты ИПСек ? или какие ? туннель поднимается или нет ?

полностью запись из лога покажи про дропнутые пакеты

Тунель не поднимается, по ван2 дропаются пакеты по 500-ому порту, а по ван1 эти-же пакеты пролетают по вышеуказанному правилу и дале поднимается IPSec

вот лог

это дропится по ван2
<132>[2008-01-23 10:40:32] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Access_Rule recvif=wan2 srcip=213.137.еее.еее destip=85.249.еее.еее ipproto=UDP ipdatalen=396 srcport=500 destport=500 udptotlen=396


а с это поднимается IPSec по ван1
<134>[2008-01-23 10:43:36] FW: CONN: prio=1 id=00600001 rev=1 event=conn_open rule=IPsecBeforeRules conn=open connipproto=UDP connrecvif=wan1 connsrcip=213.137.еее.еее connsrcport=500 conndestif=core conndestip=213.137.YYY.YYY conndestport=500
далее поднимается аписек...

Вам надо прописать маршрут до remote endpoint с меньшей метрикой через шлюз wan2, тогда IPSec встанет именно через WAN2

Спасибо заработало