Здравствуйте.
Есть 2 офиса, соединенные между собой по оптике, в каждом офисе есть выход в интернет. (см. рисунок).
Сейчас это все одна сеть 192.168.3.0, DHCP раздает настройки для всех ПК, где шлюзом прописан маршрутизатор с основным выходом в интернет (D-Link DFL 800). Хочется сделать так, что бы офис №1 ходил в интернет по основному каналу, офис 2 по резервному, и в случае падения одного из них пользователи автоматически работали через другой, рабочий канал связи. Как видно на рисунке, в первом офисе используется DFL-800, в другом на данный момент используется керио. В принципе есть планы во втором офисе заменить керио на аппаратное решение, может быть это поможет решить данную задачу?
Подскажите пожалуйста, реализуемо это или нет? Какие есть варианты?
P.S. с DFL-800 только начинаю разбираться, еще плохо понимаю, что он умеет, а что нет.

На DFL ваша задача реализуется добавлением резервного маршрута на all-nets в интерфейс LAN на комп с KWF + правилом fwd lan/lan.

У KWF смотрите на резервирование маршрутов, как это там настраивается и работает, не подскажу - не было такой функции, когда я на DFL переходил.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

зависит от того, сможете ли вы так настроить DHCP сервер(ы)

Не надо DHCP, он не будет работать в условиях объединения сетей на 2 уровне. Эта задача решается резервным маршрутом в LAN на второй маршрутизатор.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

недопонял:
как тогда компы из офиса2 будут в обычном режиме выходить в интернет через керио ?

Для офиса №2 шлюзом всегда будет DFL. Вот только при недоступности основного канала трафик будет рулиться на KWF. И наоборот, с KWF на DFL.

Схема абсолютно рабочая, сам так держу Yota резервом.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

автор имел ввиду другое

Автор хочет чтобы каждый офис использовал свой интернет, а в случае его падения - интернет другого офиса. Задача решается либо двумя шлюзами (на стороне клиентов, порождает проблемы), либо дополнительным маршрутом на второй шлюз прямо на DFL.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Большое спасибо за ответы
В первую очередь, попробую отстранившись от второго офиса сделать как рекомендует danilovav, т.е.


Как я уже писал, только начинаю работать с девайсом, поэтому как это сделать пока не разобрался.

По некоторым причинам пришлось отложить решение данной задачи на долгий срок, и вот наконец-то теперь я вернулся к ее решению
Относительно описания задачи в первом посте изменилось только то, что вместо керио во втором офисе тоже появился DFL-800, сейчас на нем и пробую реализовать резервирование выхода в интернет.

В таблицу main я добавил "маршрут на all-nets в интерфейс LAN" (GW-1_local - внутренний IP другого роутера)


Далее, по вашему совету, мне надо "добавить правило fwd lan/lan"
Это я не понял, поясните пожалуйста немного подробнее куда его добавить и для чего.

Возможно я заблуждаюсь, но мне могло бы помочь включение мониторина на маршруте 2 (дефолтном маршруте в инет), но включить его мне не удалось, так как этот маршрут, кажется, не доступен для редактирования.

Правило Fwd fast lan/lannet lan/all-nets all_services делается в Rules > IP rules.

Чтобы для вашего маршрута №2 сделать мониторинг, вам надо отключить автоматический (галка Add default route if gateway is specified в параметрах wan) и создать такой же руками, но с мониторингом.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Большое спасибо, все заработало

Есть еще вопрос.
Сейчас канал связи между двумя офисами с обоих сторон подключается в LAN порты DFL. И получается, что два офиса находятся в "одной сети" (192.168.3.0), и по удобству это всех устраивает. Но есть некоторые опасения, связанные с тем, что страшновато провод приходящий от провайдера просто включать к себе в LAN. Можно ли как-то защитить канал между двумя офисами, что бы при этом НЕ разделять сеть на 2 адресных пространства?

Как вариант можно посмотреть на устройства, предоставляющие L2 VPN (как минимум, можно попробовать OpenVPN решения), но это недешево или существенно понизит скорость. И DFL такого не умеют.

Я бы вам советовал все-таки развести адресацию и сделать в провайдерском шнурке IPsec. А суммарную видимость обеспечит WINS.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Скорость защищенного канала при этом будет 60 МБит/с для DFL-800 (по описанию).

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Что бы так сделать, можно задействовать порты WAN2, правильно?
Дать им адреса из любой сетки, например 192.168.10.0/30 и настроить между ними IPsec туннель. (я еще этого сам не делал, буду пробовать).

Я не понял, как Wins мне обеспечит суммарную видимость? Все сервера, в том числе контроллеры домена, у меня в офисе №1, соотв. они останутся в сети 192.168.3.0/24, как при этом компы офиса №2 окажутся в сетке 192.168.4.0/24, я не уверен, смогут ли они нормально работать в домене и иметь доступ к серверам.