День добрый, подскажите пожалуйста есть ли все таки рабочая схема на 210 переключения IPSEC тунелей при обрыве связи?

В поиске был.

Ни по мониторингу маршрута, ни по DynDNS рабочей схемы не получилось. Как я понял вне зависимости от текущего провайдера все подключения инициируются через wan порт

Firmware Version на которой проверялось: 2.20.03.08-8260 и 2.26.00.06-12653

Вам какой вариант - оба DFL имеют по 2 интерфейса со статическими (желательно) адресами или один имеет 2, другой 1?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Оба DFL имеют по 2 интерфейса со статическими адресами. WAN и DMZ соответственно. Переключение при обрыве настроено.

Ну, тогда... Приведенные действия выполняются на обоих DFL зеркально

1) Objects > Address book > RemoteNetworks
Делаете объекты
remote_ip1, remote_ip2 - адреса wan1 и wan2 удаленного DFL
remote_net - lannet удаленного DFL
remote_dfl - lan_ip удаленного DFL

2) Routing > Routing tables > main
Добавляете маршруты
wan1 remote_ip1 wan1_gw 1
wan2 remote_ip2 wan2_gw 1

3) Interfaces > IPsec
Настраиваете туннели ipsec_remote1 и ipsec_remote2, автоматическое создание маршрута отключаете

4) Interfaces > Interface groups
Делаете группу ipsec_remote из ipsec_remote1 и ipsec_remote2

5) Rules > IP rules
Делаете правила
Allow ipsec_remote/remote_net core/lan_ip ping-inbound
Allow ipsec_remote/remote_net lan/lannet all_services
Allow lan/lannet ipsec_remote/remote_net all_services

6) Routing > Routing tables > main
Делаете маршруты на туннели как по FAQ (разные метрики) с применением ICMP мониторинга на remote_dfl
ipsec_remote1 remote_net 90
ipsec_remote2 remote_net 91

7) Routing > Routing tables
Добавляете таблицу маршрутизации alt_wan1 с ordering only, добавляете в нее единственный дефолтный маршрут на wan1 без мониторинга - wan1 all-nets wan1_gw 100
Аналогично для wan2 (alt_wan2)
Добавляете таблицу alt_ipsec_remote1, добавляете в нее единственный маршрут - ipsec_remote1 all-nets 100
Аналогично для ipsec_remote2 (alt_ipsec_remote2)

8) Routing > Routing rules
Делаете правила
wan1/all-nets any/all-nets, forward main, return alt_wan1
wan2/all-nets any/all-nets, forward main, return alt_wan2
ipsec_remote1/all-nets any/all-nets, forward main, return alt_ipsec_remote1
ipsec_remote2/all-nets any/all-nets, forward main, return alt_ipsec_remote2
Если вам не надо одновременную доступность обоих WAN-ов, то первые два правила можно переписать в виде
wan1/remote_ip1 any/all-nets, forward main, return alt_wan1
wan2/remote_ip2 any/all-nets, forward main, return alt_wan2

Такой изворот нужен для того, чтобы туннели поднимались после падения - это обеспечивается тем, что пакеты из них всегда обрабатываются через отдельную таблицу (без мониторинга). Ну и для двух туннелей необходима одновременная работа обоих WAN, поэтому необходимы альтернативные таблицы и для WAN-ов.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Огромное спасибо!

Dlinkу пора платить Вам зарплату за этот форум.....

Подскажите аналогичный вариант только по схеме 2 - 1
Что надо изменить.
Заранее спасибо.

Много проще, один тоннель, на DFL с одним WAN указывается группа адресов удаленного DFL как remote endpoint. На DFL с двумя WAN не надо настраивать одновременную доступность обоих WAN - должен отвечать только один.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Получается между точками будет 1 тоннель и в случае недоступности 1 из интерфейсов он будет перескакивать на исправный?
И как настроить чтоб отвечал только 1 интерфейс.
И попутно.
Возможно ли поднять 2 тоннеля по разным интерфейсам которые б приходили на 1 интерфейс.
Если не доступен один из интерфейсов часть трафика которая шла через проблемный перекидывалась на работающий или это нереально.

Да, именно один тоннель. Два работать не будут т.к. на DFL с двумя WAN будет 2 SA с одинаковым адресом и ничего работать не будет.

Настроить чтобы отвечал один интерфейс - это по умолчанию. Или вы настроили одновременную доступность?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Interface - wan1
Network - remote_ip1
Gateway - wan1_gw
Local IP address - не трогаем
Metric - 1

В пункте 6 надо пинговать lan_ip удаленного DFL (он называется remote_dfl)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Заказали 2 ip для 2 устройства. Хочется все таки 2 тоннеля.
Маленький вопрос возник.
В моей схеме подключение на одном из интерфейсов происходит через PPTP авторизацию к провайдеру.
Значит ли это что вместо wan1 соединения надо указывать PPTP или нет.

Да, конечно
В случае РРТР клиента, не нужен шлюз в маршрутах

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

добрый день! не могли бы вы дать ссылочку на данный фак, как делать ICMP мониторинг. Что-то найти не могу...

В маршруте на вкладке Monitoring ставятся галки Enable monitoring, Enable host monitoring, можно выставить достаточным условием доступность хотя бы одного хоста.
Далее, на вкладке Monitored hosts добавляются хост(ы) для мониторинга. Я обычно использую 8.8.8.8/8.8.4.4, но можно и провайдерские DNS.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

спасибо, а если использовать WANIP удаленного dfl?