Тут возможно зависит от хоста куда подключаетесь - у меня например не работала (имено мониторинг ipsec, точнее работала через раз) связка d-link 210 - mikrotik. Dlink - Netscreen - все нормально, пришлось все соединения d-link 210 - mikrotik перевести на L2TP - работает без проблемм

У меня хосты:
DFL 210 - DFL 800

Ну просто родные братья, просто один чуть посильнее. но работать не хочет, а очень надо

Покажите скринами, как у вас сейчас мониторинг настроен - таблицу маршрутизации и детали мониторинга

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

К сожалению даже прочитав все правила форума и BBCode я так и не смог присоединить к сообщению ни изображение ни вложение

Попробую позже описать все настройки текстом.

Пока попытаюсь объяснить зачем мне нужен мониторинг:

Имеется Главный офис (О1) и 2 ДопОфиса (О2 и О3)

О1 связан с О2 по IPSec
О1 связан с О3 по IPSec
Здесь всё хорошо, кроме того что IPSec канал в главном офисе не переключается на основной канал интернета при его (главного канала) восстановлении (есть на форуме отдельная тема без решению )

О2 связан с О3 по IPSec
И хочется сделать так, чтобы при падении связи О2-О3 или О3-О2 связь между допофисами автоматически шла через О1!!!
В О1 созданы правила для общей подести и группы интерфейсов Допофисов, и при отключении впринципе интерфейсов IPSec О2-О3 и О3-О2, и прописании общей подсети для интерфейсов О2-О1 и О3-О1 связь через главный офис работает.
Теперь включаем обратно интерфейсы О2-О3 и О3-О2, даем им метрику 88 и вешаем на них мониторинг по статусу канала и пингу.
Оставляем Интерфейсы О2-О1 и О3-О1 с прописанной общей подсетью для всех и даем метрику 89

При такой схеме маршруты О3-О2 и О2-О3 сразу помечаются как недействющие и связь между допофисами пропадает и не идет через главный офис При этом связь О2-О1 и О3-О1 прекрасно работает.

О1 - DFL-800 FW 2.27.03.25
О2 - DFL-210 FW 2.27.03.25
О3 - DFL-210 FW 2.27.03.25

заходите на radikal.ru и постите картинку. в чем проблемы?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо, YuriAM

Итак, цель чтобы при падении канала между допофисами связь между ними шла через центральный офис.
IS1 - главный офис
IS2 - Допофис2
На скринах настройки допофиса IS3






После настройки и сохранения параметров:
1. маршрут до допофиса помечается как нерабочий, хотя это не так.
2. связи между допофисами через главный офис отсутствует
3. Если вообще отключить интерфейсы связи между допофисами, то связь между ними прекрасно работает через главный офис, что говорит о том, что такой вид связи настроен праильно.

Очень важно, что вы мониторите IPsec. Там несколько другая техника - все входящие из IPsec надо обрабатывать вне зависимости от мониторинга, иначе DFL просто не будет отвечать и ничего не поднимется

1. Уберите мониторинг по состоянию канала. Только пинг

2. Routing > Routing tables
Добавьте таблицу alt_IS3, ordering = only
Добавьте в нее маршрут IS3 all-nets 100 (без мониторинга)

3. Routing > Routing rules
Добавьте правило
IS3/all-nets any/all-nets, forward main, return alt_IS3

4. Rules > IP rules
Добавьте разрешающее правило
Allow IS3/IS3_net core/lan_ip ping_inbound

К слову, параметры мониторинга у вас очень жесткие. На время настройки вернитесь лучше к стандартным

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

wannet - как выглядит? По таблице роутинга там бред полный

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Как выглядит wannet видно из скрина
Его да, надо пересчитать в CIDR

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо!
Всё настроил.
Всё работает прекрасно до первого падения канала меду допофисами.
При падении канала маршруты в обоих допофисах често помечаются Х-ом.
При этом работает звязт между допофисами через головной офис.
После восстановления канала Х убирается только на маршуте у ОДНОГО из допофисов (зависимость почему именно у какого-то одного выловить не удалось несколько раз Х убирался у одного, несколько раз у другого допофиса) у второго допофиса маршрут остается помеченым Х-ом и связь продолжает идти через главный офис

Таблицы маршрутизации после восстановления канала:



Настройки:
IS3:




IS2:

Исправьте таки wannet - там должна быть не маска подсети, а подсеть в формате CIDR. Пересчитайте на http://www.subnet-calculator.com/

На той стороне - убрали мониторинг состоянием?

Пинги в Status > Connections из IPsec видите?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

wannet - исправил на всех устройствах
мониторинг с обоих допофисов только пингом

IS2
Таблица main после обрыва-восстановления канала между допофисами


Таблица alt


Настройка мониторинга


Status > Connections :


IS3
Таблица main после обрыва-восстановления канала между допофисами


Таблица alt


Настройка мониторинга


Status > Connections :

111 - это адреса DFL?
Что у вас в Status > IPsec на SA2 - есть ли SA на туннель, есть ли вообще (list all SAs)?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

111 - это Lan_IP DFL
Status > IPsec
Все тунели есть
На IS2:
IS2 - IS1
IS2 - IS3

На IS3:
IS3 - IS1
IS3 - IS2

На IS1:
IS1 - IS2
IS1 - IS3

Могу вечером скрины выложить, но там будет тоже самое что и на последнем скрине шестого поста этой страницы

Статусы после падение-восстановления каналов между допофисами:

IS2 Status-IPSec


IS3 Status-IPSec