Выше уже писал, что через Wan1, все настраивалось, не хотел работать wan2, криво создавался автоматический маршрут, все шло через wan1. После выключения wan1 интерфейса, прописался нормальный маршрут через wan2. Реальные действующий маршруты можно увидеть в status routes.
Теперь еще есть следующий вопрос, даже ночью, когда отсутствуют пользователи сети, нагрузка на роутере составляет порядка 30%, является ли это нормой при условии, что создан ipsec тунель без шифрования?
При 20 пользователях rdp загрузка роутера составляет 90% и выше, это тоже нормально для этой железки?

совершенно не ясно, что означает "криво создавался автоматический маршрут". Если вам надо настроить одновременную работу wan портов, вас должна интересовать PBR и, м.б., балансировка. И пара инструкций в FAQ.

Это не нормально. Это косяк вашей конфигурации или железки.

IPsec без шифрования не нужен, если вас интересует нешифрованный канал, у вас есть GRE/PPTP/L2TP.

Ваш DFL все-таки заработал с вашим провайдером? В чем было дело?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Присоединяюсь к обсуждению, тему создавал коллега.
Опишу ситуацию чуть подробнее. Имелся DFL-260E в головном офисе для следующей конфигурации: в DMZ веб-мейл-сервер с пробросом соответствующих портов в локальную сеть и интернет. Через него же доступ в интернет в локальной сети. Кроме того, выполнял функции VPN на 2 удаленных сети (там стоят два 210). Выполнял он их очень медленно, так как в головном офисе и филиалах были разные провайдеры. Сейчас подключились в головном офисе к такому же провайдеру, как и в филиале, с целью получения максимальной скорости по VPN и приобрели 860Е. Для переноса конфигурации по методу, описанному на форуме уважаемым danilovav забрали конфиг с 260Е по ssh, поправили wan на wan1, залили на 860Е, что не залилось - добавили ручками. Что там пошло не так с интернетом по wan2, я пока не понял, но сейчас он есть, судя по всему, из-за 2 правил, которые разрешают все всем по wan2. Понятно, что это нехорошо, но нет возможности отключить, пока не пойму, как правильно сделать.

Что имеем сейчас.
Прошивки везде 2.27.03.
На 860Е подняли ipsec. Совсем избавиться от 260Е пока не получилось, так как люди работают, экспериментировать нельзя пока. Поэтому wan1 и DMZ сейчас остаются на нем. Временно получили такую конфигурацию - на 260Е добавили маршруты, которые направляют весь ipsec-трафик с удаленных точек на 860Е (он прописан шлюзом в основной таблице маршрутизации). То есть 260Е и 860Е работают одновременно. Вечером в субботу попробовал переткнуть кабели и прописать у себя шлюзом 860Е, что-то пошло не так, но времени разбираться не было, офис закрывали. Вернул обратно. Кроме того, как уже отмечено, загрузка процессора на 860Е даже в состоянии нулевой активности по ipsec и отключенном шифровании 30%, а при активности так и все 90%. DFL-210 в филиале тоже грузится процентов на 60, но в покое очень слабо.

Что хочется получить.
1. По wan1 - доступ в интернет, сайт и почта, висящие в DMZ.
2. По wan2 - только ipsec-трафик с-на удаленных сетей, то есть он используется пока только для объединения офисов. Про failover потом подумаем.

Нужно ли мне для этого использовать PBR?
Что почитать для достижения правильной конфигурации?
Заранее спасибо.

это вполне типовая конфигурация без каких-либо особенностей.

Тут тоже достаточно двух маршрутов в таблице main на удаленный офисы для IPsec.

Никакой PBR в данный момент не надо. Понадобится, если, к примеру, захотите задействовать wan2 как резервный для http и smtp.

какова пропускная способность обоих ipsec каналов?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

По первому максимально удалось достичь ~15000 kbps по статистике 860E. Второй протестировать возможности не было, все компьютеры в удаленной сети были выключены на тот момент. Это с отключенным шифрованием в ipsec, что, как Вы уже отметили, не имеет смысла. За первым каналом сидят более 20 человек в rdp (thinstation), частенько передают фотографии - суммарный объем 150-200 мегабайт. За вторым около 15 человек, но сидят через обычный rdp от Windows XP.
В принципе, файл 220 Мб копировался за 2 минуты по VPN.

Юрий, Ваши предложения попробую в ближайшее время. Но хотелось бы услышать еще несколько рекомендаций:
1. Есть ли смысл обновляться на прошивку повыше (может, загрузка процессора упадет немного)?
2. С учетом грядущих прошивок и известного нюанса с длиной ключа алгоритмов шифрования в РФ, какие алгоритмы посоветуете для максимальной производительности ipsec?

Обычно я ставлю самую свежую (for WW). И вам, думаю, есть смысл поставить 2.40.

Сам я пытался отключать шифрование в IPsec лишь однажды. На стенде. В результате получил уменьшение производительности.

Не эксприментировал. Ограничивался типовыми настройками. У меня лишь есть ощущение, возможно обманчивое, что смена не будет приводить к существенному изменению скорости.

А с большой загрузкой CPU надо разбираться.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Кстати, что-то не могу понять, как будут выглядеть эти маршруты? То есть как ipsec пустить именно через wan2?

И даже более того, если на удаленном DFL-210 указать в remote endpoint wan2 860го, то получится как раз то, что нужно - весь ipsec пойдет через wan2, не так ли?

На данном этапе, получается, что в логах полно записей вида
2012-05-03
19:24:05 Warning RULE
6000051 Default_Access_Rule TCP wan1
81.161.206.232
wan1_ip 55284
25 ruleset_drop_packet
drop
ipdatalen=28 tcphdrlen=28 syn=1

На 25 и 80 порты. То есть почта и интернет. Интернет в локалке пропадает. Хотя на этот форум почему-то пускает.
У меня такое ощущение, что проблема в маршрутизации все-таки. Чтобы в интернет ходило через wan1 - это все-таки PBR?

покажите ваши IP правила, таблицу main и status-routes

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Я сейчас временно вернул все назад. Все-таки хочу сам разобраться и понять.
Хотелось бы получить ответы на несколько вопросов для этого:
1. "Тут тоже достаточно двух маршрутов в таблице main на удаленный офисы для IPsec." - это Вы писали по поводу того, чтобы направить туннели исключительно через wan2.
Я вот пытаюсь понять - а нужны ли они, если в конечной точке (remote endpoint) на удаленных DFL в филиалах просто можно указать wan2 головного офиса?
Если таки нужно, как эти маршруты должны выглядеть? Сейчас создаются маршруты вида "интерфейс ipsec - удаленная локальная сеть - удаленный внешний ip".

2. Как cказать 860E, чтобы он не пытался выпускать из лан в интернет по wan2, а отправлял по wan1?

Если ничего не выйдет, выложу правила.

проще покажите конфигурацию. А мы подскажем что исправить (можно с кратким комментарием). Сами поймете как надо.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Юрий, я вам в ЛС отписался.

для начала надо:

1. метрику основного маршрута через wan1 сделать меньше wan2. например 90 против 100. Так у вас wan1 станет основным

2. удалить два последних маршрута в таблице main, связанных с IPsec (номера 8 и 9 с метрикой 60). вместо них добавить маршрут

Route wan2 <группа из двух внеших адресов дочерних офисов> wan2_gw 100

так у вас дочерние офисы всегда будут доступны через wan2. Дочерние офисы также должны ломиться на wan2, как енд-поинт для ipsec.

Может быть вообще, с точки зрения быстродействия, разумнее сделать сети второго провайдера доступными через wan2. Но это зависит от некоторых факторов, которые не освещены. И в конце концов, решать вам.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Сделал. Почти все заработало.
Но есть странности. Перестали быть доступны по внешним ip удаленные DFL-210, отбрасываются по Default_Rule на 860Е. Удаленное управление на них доступно по wan1_ip и по wan2_ip, хотя я проверил - в интернет сейчас ходит через wan1. По туннелю управление работает.
Скриншот привожу ниже.

Uploaded with ImageShack.us

Кроме того, из филиалов почему-то перестал быть доступен сайт, висящий в DMZ у 860E, с тем же Default_Rule.
Прописывание разрешающих правил напрямую избавляет от записи в логе, но доступными ресурсы все равно не становятся. Думается, проблема в маршрутизации.
Добавляю - если отключить предложенный Вами wan2-маршрут wan2 - remote_gws - wan2_gw 100 No, то DFL-210 по внешним ip начинают открываться, но, понятное дело, падают туннели.

В общем, как я понимаю, все-таки без PBR я не получу желаемого. Да, трафик из ipsec заворачивается на wan2, но абсолютно весь. Отсюда и все проблемы с доступом.
Юрий, прав ли я?