Добрый день.

Имеем связку DFL-800 и DFL-210.
Между ними настроено 2 IPSEC тунеля (через разные сети провайдера). В таблицы маршрутизации обоих роутеров вручную добавлены маршруты с мониторингом состояния линка (по FAQ IPSEC Failover), с одинаковой метрикой.
Проблема в следующем. Когда первый из тунелей пропадает, по keep-alive маршрут отключается и трафик идет по другому, работающему туннелю. Но если в момент когда первый тунель не работает, роутер выключить (например из-за пропадания электричества), а потом включить, то по состоянию маршрутов в таблице маршрутизации видно, что маршрут у неработающего тунеля НЕ ОТКЛЮЧЕН. Соответственно, хотя второй тунель установлен, но трафику идти некуда, т.к. маршрут на неработающем тунеле не отключен.
При этом в лог пишется, что тунель disabled, но никаких попыток keepalive запросов не происходит. Думаю, что монитор линка для целей мониторинга маршрута, нужно делать не только по keep-alive пакетам, но и по состоянию самого интерфейса ipsec (когда тунель не установлен, нужно отключать привязанный к нему маршрут со включенным монитором линка).
Отсюда вывод, что failover может работать только ДО перезагрузки роутера, что неправильно.

Прошу исправить данную ошибку в ближайших прошивках. Могу протестировать исправленную прошивку в нашей сети (3 шт DFL-800 и 12 шт DFL-210)
Версии прошивок всех устройств - 2.20.03

извиняюсь за оффтоп, но если не сложно ответить на вопрос (т.к ваша конфигурация с 2мя провайдерами и IPSEC Failover в последнее время оч. популярная тема на этом форуме).
так вот, подскажите пожалуйста у вас оба провайдера провайдера предоставляют доступ в Интернте? т.е Ipsec настроен на failover между 2мя провайдерами с маршрутами в all-net? (надеюсь понятно выразился =)))))

2 Cranium
Не совсем так.
Во первых, чтобы работал failover нужны статические маршруты на хост через разные линки(если только адреса WAN-портов обоих устройств не лежат в одной подсети)
Например, 1
DFL-1 имеет адреса 1.1.1.1 и 2.2.2.1
DFL-2 имеет адреса 1.1.1.2 и 2.2.2.2
Сети 1.1.1.0/24 и 2.2.2.0/24
В этом случае - никаких доп. маршрутов не нужно.
Например, 2
DFL-1 имеет адреса 1.1.1.1 и 2.2.2.1
DFL-2 имеет адреса 3.3.3.1 и 4.4.4.1
Тогда на DFL-1 нужен маршрут на 3.3.3.1 через шлюз для интерфейса 1.1.1.1 и маршрут для 4.4.4.1 через шлюз для интерфейса 2.2.2.1, а так же аналогичные маршруты для DFL-2

Так что хотя на обоих линках может быть маршрут all-net, он никак не повлияет на направление трафика для создания тунелей.

Во вторых, у меня схема сложнее. Через WAN интерфейс поднят PPTP-client, с доступом в Инет(это один канал для IPSEC), а второй канал образован виланом на WAN интерфейсе.

DFL-1(WAN)+PPTP ---- Инет ---- DFL-2(WAN)+PPTP
DFL-1(VLAN on WAN) ---- свичи ---- DFL-2 (VLAN on WAN)

Сложно, но так надо.
При этом, все работает, кроме отслеживания маршрутов после вкл-выкл роутера (как описано в первом посте)

Я понял, т.е у вас Failover без использования PBR и альтернативных таблиц, чисто по 2 маршрута на удалённый GW через 2 разных гейта. с разными метриками.
так?

Не могли бы вы если вам не сложно поглядеть одну тему:
viewtopic.php?t=84714&postdays=0&postorder=asc&start=0

там не очень много, но проблема в настройке с PRB реально сущевствует, поддержка отвечает лишь что настройка " не тривиальна" ..может вы сможете помочь.
заранее спасибо.

2 Cranium
Все конечно интересно... Ваша конфигурация работоспособна. Но чтобы проверить ее правильность, необходимо еще посмотреть настройки PBR на первой закладке в режиме редактирования - куда какие таблицы маршрутизации прописаны. На ваших скриншотах этого не видно. Кроме того, необходимо знать еще тип таблицы alternative - Default, Only?

Все же, я бы хотел получить ответ от техподдержки Д-Линк по моей проблеме, тем более что вот-вот выйдет новая прошивка...

На самом деле тема эта не моя, но она интересует оч мнго людей), да и пробовали уже и default и only и что тока не делали - там как будто PBR не хочет "отрабатывать" именно ipsec-suit на все дуругие сервисы вполне получается отвечать с wan2...

А по вашей проблеме это какой-то глюк или всё та же беда прошивкой в которой пока ограниченные возможности мониторинга состояния., в будущей прошивке обещают мнитор не тока по линк статус, но и IP и прочим всевозможным....

Дело не в доп. возможностях мониторинга линка, а в неправильном алгоритме самого мониторинга. При помощи доп. возможностей по мониторингу конечно можно настроить линк-монитор как надо (как очередной "костыль"). Но тогда зачем спрашивашивается нужен native линк-монитор?