Здравствуйте!

Настроил пару DFL800 согласно примера http://www.dlink.ru/ru/faq/85/575.html
На стенде все получилось довольно красиво: VPN туннели поднялись, при отключении линка WAN1-WAN1 прошел запрет маршрута в соответствии с мониторингом и переключение на резервный маршрут, при возобновлении линка - переход на основной канал.
Но оставив без линка основной канал (WAN1-WAN1), я решил протестировать систему как она поведет себя после выключения и включения DFL800ых. К сожалению связь между сетями не установилась и я обнаружил, что если не удается поднять основной туннель (нет соединения до main-remote-gw), с учетом того, что резервный туннель поднялся (видно в статусе IPSec), оба мониторящихся маршрута остаются разрешенными.
Видимо поэтому нет соединения - пакеты и не собираются идти резервным маршрутом, т.к. есть маршрут с меньшей метрикой, а попытки использовать основной канал неудаются. Если оставлять без линка WAN2-WAN2, связь по основному каналу устанавливается без проблем.

Хочется, чтобы если при включении DFL в случае когда основной провайдер лежит, то резервный канал всё-таки поднялся.

Как быть? Спасибо!

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

В моем случае требуется только обеспечить устойчивость к отказу одного из двух подключений каждого узла.
В реальной ситуации (не на стенде) возможны варианты соединений:
через WAN1 на main-remote-gw для основного IPSec туннеля
через WAN2 на main-remote-gw для основного IPSec туннеля
через WAN1 на backup-remote-gw для резервного IPSec туннеля
через WAN2 на backup-remote-gw для резервного IPSec туннеля

Т. е. предлагаете описать статические маршруты до remote endpoint-ов? Я правильно понимаю Вашу мысль? А этого достаточно или нужно организовать мониторинг этих маршрутов чтобы недоступный маршрут запрещался?

К сожалению, построить совсем отказоустойчивую систему на DFL не получается. Поэтому да, надо делать статические маршруты между WAN. Да, надо мониторить IPsec'и, чтобы маршруты поднимались после падения, используйте обработку пакетов из тоннеля при помощи альтернативной таблицы маршрутизации.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Сделал как предложено в нижнем посте viewtopic.php?t=122615.
Результат аналогичный. После рестарта соединение IPSEC поднимается только когда доступен main remote endpoint. До тех пор пока хотя бы один раз не установится основной туннель удаленная сеть недоступна
Применение ICMP мониторинга похоже позволяет корректно запрещать неработающий основной туннель. Но это не помогает задействовать резервный туннель после рестарта девайса.

Может я что-то недопонимаю в рекомендациях. Если есть возможность, представьте плиз рабочую конфигурацию DFL800.

Кроме меня кто-то пытался такую конфигурацию настроить? Есть такая проблема? Или это только у меня не работает?
Спасибо!

Ровно так как я описал, у меня работает. Для вас пункты 8-9 не нужны.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc