всем Привет.
Народ подскажите, есть 2 dfl-260, меж ними vpn, по 2 провайдера с каждой стороны:
ips жестко разведены маршрутами, собственно 2 ipsec на каждом с разными ключами. Метрика у основных ipsec 90, у резервных 100, включен мониторинг. Падает основной канал, в логах ike_sa_failed, резервный не поднимается, пока не отключишь основные маршруты с обоих сторон. Интересный момент, в логах одного из дфл, я вижу ругань на Invalid payload... ощущение, как будто они в ключах путаются...
Чего делать?))

Вот тут viewtopic.php?t=127202 я расписывал схему, к которой надо привести вашу конфигурацию

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо, большое. Очень выручили.

Подскажите, еще такой вопрос. Я так понял, что здесь ситуация, когда фэйловер отрабатывает, если падает 1 из 4х IPS. А можно ли сделать так, чтобы фэйловер отрабатывал, если падают два перекресных провайдера (допустим, wan с одной стороны и dmz с другой)? Для этого необходимо создавать еще 2 таблицы, 2 правила и целую кучу других записей?

Есть 2 теоретических сценария, но я их еще не пробовал

1) 4 туннеля и авторизация на сертификатах

2) Один тоннель с группами remote endpoint'ов, но я не смог заставить его работать на данный момент

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

еще один момент, возможно, вы будете любезны подсказать, что мне нужно сделать, чтобы подцепить еще парочку туннелей на один из dfl, сложности с маршрутизацией. Очевидно, что-то делаю не так:
1ый маршрут ipsec_wan - ipsec_wan 90
2й маршрут wan - remotenet 1
3й маршрут ipsec_dmz - ipsec_dmz 91
4й маршрут dmz - remotenet 2

Дальше танцы...
5й маршрут ipsec_wan - ipsec_wan2 90
6й маршрут wan - remotenet_2 95

дальше запутался...
Подскажите, пожалуйста...

Покажите схему или приведите названия объектов/интерфейсов к более понятному виду, а то реально ничего не понятно

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Эм, ладно, пардон...
есть сети 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24.
Центральный dfl работает в первой сети.
Вторая сеть 192.168.2.0/24 зацеплена по вашему мануалу 2 впн + фэйловер.
Нужно подцепить третью сеть также к центральному dfl.
Пока удалось зацепить только один канал, подцепляешь второй канал, все отваливается.
Очевидна проблема в маршрутах.

У меня через центр по 5 таких "двойных" VPN проходят и все нормально.
Найдите шаг, на котором все отваливается. Делайте (и применяйте сразу) в такой последовательности: объекты, статические маршруты до удаленных точек, туннели, правила, альтернативные таблицы на туннели, правила маршрутизации, маршруты на туннели в main.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Как показывает практика, отваливается все при подключении резервного впн с 3ей сети. Стоит только отключить правило маршрутизации на резервный канал, на центральном и 3ем, все работает вновь...

Еще один очень интересный момент, подскажите, пожалуйста, по какой логике назначается метрика.
на центральном роутере у меня маршруты до 2ой сети: ipsec с метриками 90 и 91, маршруты до удаленной сети с внешних интерфейсов с метриками 1 и 2.
Когда я добавляю 3ю сеть, у меня работает с метриками:
ipsec 92 и 93. А маршруты до удаленной сети с внешних интерфейсов не работают, если метрика ниже, чем 90. Я поставил 95 и 96. Попытаюсь внести ясности: мне казалось, что по логике, должно работать с метрикой с внешних интерфейсов 3 и 4? Я не прав?

Маршруты до удаленных адресов DFL все можно сделать с метрикой 1.

По маршруту на удаленную сеть - тоже можно сделать 91 и 92. А маршрут на all-nets у вас с какой метрикой?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Если вы имеете ввиду с интерфейса в ол-нет, то оба с 90.

Сделайте для all-nets метрики 100 как минимум.
И зачем у вас две одинаковые метрики? Балансировка?
Если нет, то один сделайте 100 с мониторингом, другой 101 без. Или если и резервирование не надо вторым провайдером, то просто удалите тот дефолтный маршрут.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Невнимательность меня погубит. Конечно же, один all-nets 90, второй 100. Извиняюсь. Поменял на 100, 101. Результат тот же. Тут вот заметил, что на удаленном dfl 3й сети плодяться ike сущности в геометрической прогрессии, адрес источника в таблице указан - основной канал центрального.