Есть центральный офис и филиалы везде DFL-800. В ЦО IPSEC тунель, настроен принимать соединения с люых адресов.
в Филиалах, Создаю по два тунеля, один цепляется WAN1IP, Другой на WAN2IP в ЦО. Когда идёт попытка поднять тунель на WAN1IP в логах видно, что отвечают ему с WAN2IP. Т.к. в данный момент Основной канал - это WAN2.

В результате тунели работают не стабильно, отваливаются по несколько раз на дню ...


Подскажите, может есть возможность явно научить DFL отвечать с того же интерфейса на который и пришёл запрос.

Явно надо просто прописать статические приоритетные маршруты между WANами.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Не совсем понятно как это поможет?

Поможет это тем, что трафик между соответствующими WAN не пойдет на другие. Такая жесткая конструкция - единственная стабильная.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Есть железяки с интерфейсам:
В центральном офисе:
DFL_C: C_WAN1, C_WAN2, C_IPSEC
В филиалах:
DFL_F: F_WAN1, C_WAN2, F-CWAN1_IPSEC, F-CWAN2_IPSEC

C_IPSEC - настроен на подключение с любого IP адреса
F-CWAN1_IPSEC - подключается к C_WAN1
F-CWAN2_IPSEC - подключается к C_WAN2
Настроен Failover для этих этих тунелей

Когда идёт подключение к DFL_C - то не важно на какой интерфейс пытается зацепиться тунель с DFL_F, ответы на DFL_F приходят с интерфейса, через который назначен маршрут по умолчанию.

Не пойму какие тут статические маршруты помогут?

В варианте 2 WAN-2 WAN будет работать только конфигурация с двумя туннелями, между соответствующими WAN. Чтобы жестко "закрепить" туннели за интерфейсами, и нужны статические маршруты.
Эту конфигурацию я описывал, например, тут - viewtopic.php?t=127202

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

И как этот маршрут должен выглядеть на DFL_C и на DFL_F?

Ну почитайте блин что я уже расписывал там - (interface network gateway metric) wan1 remote_ip1 wan1_gw 1.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да это хрень какая-то, это конечно заставит слать пакеты с WAN1, а если провайдер на wan1 отвалится?

Сделаю я два туннеля для филиала, C_wan1 - F_wan1, C_wan2 - F_wan2. Сделали мы маршруты на обоих ДФЛях

В центре отвалился WAN1, в филиале WAN2 ... получаем не работающий Тунель при работающем интернете ...

Да и когда у тебя 20 филиалов - получается что настроить надо 80 тунелей на 20-ти ДФЛях, 40 в центрально офисе и по 2 в каждом филиале -- не айс . Я уж не вспоминаю про то, что если захочешь чтобы филиалы между собой тоже тунели натягивали ... это ж я до старости их все не настрою.

А меня интересует ... как сделать так, чтобы DFL отправлял пакеты с того интерфейса, на которой они пришли. Вне зависимости от того какой сейчас маршрут по умолчанию. С пингами ДФЛь как-то сам в состоянии разобраться, какой интерфейс пингуют и с какого слать ответ. А с IPSEC такая чтука не работает.

К сожалению, для конфигурации "2 WAN - 2 WAN" это единственный _работающий_ вариант (РРТР по DynDNS не рассматриваем).
Там же по ссылке ниже я рассматривал отличия для случая, когда с одной стороны 1 WAN ("треугольник"), тогда будет один тоннель.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо большое, за то, что уделил время ... но это все было известно .

PPTP я уже пробовал, периодически ППТП тунели из филиалов в ЦО отваливаются, выглядит это также как я описывал это в этой теме:
viewtopic.php?t=109882&highlight=

В общем, получается что все заявленные технологии PPTP, IPSEC ну и т.д. работают от случая к случаю ... Из 20 ДФЛей - есть 4 штуки на которых конфигурации просто скопированны разные только IP адреса ... и они все работают по разному с этими тунелями ...
Ну как тут выявить какую-нибудь закономерность?

IPsec сам по себе и у DFL в частности достаточно критичен к качеству канала. Когда начинаются проблемы, плодятся SA и начинаются глюки.
Опыт подсказывает, что надо мониторить и пресекать проблемы с самого начала.
VPN сеть из десятков априори не будет работать сама по себе, ее надо постоянно поддерживать.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc