Как реализовать чтоб весь трафик пользователей в инет шел через второй wan, а ipsec для динамически подключаемых хостов, описанных в http://dlink.ru/ru/faq/92/927.html , шел по wan2?

я сделал:
routes:
main: pppoe1 all-nets 60
pppoe2 all-nets 70
alt_ipsec(only): pppoe1 all-nets 70
pppoe2 all-nets 60
D_ipsec all-nets 0

ipsec: D_ipsec
Локлаьная сеть: lannet
Удаленная сеть: all-nets
Удаленная точка: none
Режим инкапсуляции: tunel
аутентификация: PSK
галочка: Динамически добавить маршрут к удаленной сети, когда туннель установлен
Правила:
1 from_IPSec Allow D_IPSec all-nets lan lannet all_services
2 to_IPSec Allow lan lannet D_IPSec all-nets all_services

И стандартные правила для pppoe2

По такой схеме соединения при изменении метрики wan2 на более приоритетную, D_IPSec держатся 1-2 минуты и отваливается и идет весь трафик по wan2..
Пробовал pbr:
alt_ipsec D_IPSec all-nets pppoe1 all-nets all_services

не помогло
железки dfl-860e.

Пробовал так:
main:
Маршрут pppoe1 all-nets 67 No
Маршрут lan lannet 100 No
alt:
Маршрут pppoe2 all-nets 60 No

PBR:
fovard: alt
back: alt
r-pppoe-to lan lannet pppoe2 all-nets all_services
r-pppoe_from pppoe2 all-nets lan lannet all_services
так инет отваливается!

что бы:
ppoe1 - ipsec
ppoe2 - для инета изнутри сети.

в main оставляете главным ppoe1 (с наивысшей метрикой)

в алт(type: the only) должен быть маршрут для ppoe2.

prb:
forward : alt
return: main

source: lan \ lan-net
dest: ppoe1\ all-net


не забудь ip rules вида lan\lan-net To ppoe2\all-net

Спасибо техподдержке, здесь выше в PBR нужно вместо pppoe2 делаем группу IPS(из pppoe1 и pppoe2) и alt делаем only и все работает как надо

Только сейчас заметил: таблица alt у меня не only, а default, наоборот делаешь, все отваливается... не мудрил, оставил как есть, главное работает без проблем.

Появилась следующая задача: из dmz делаем wan3, и направляем туда lan2.
Создал таблицу alt_pppoe3, сделал ее по умолчанию.
Создал правила аналогичные выше, только для pppoe3 (то есть не в группе) и lan2 с прямой и обратной таблицей alt_pppoe3.
Также есть отдельные ip-правила для лан2 в pppoe3.
В результате ни чего не происходит, все остается по старому(мой ip входит и в лан1 и в лан 2, думаю это не критично?).

Разобрался (:
загнал pppoe3 также в группу с pppoe1, pppoe2.
alt_pppoe3 the only
pbr: fovrd alt_pppoe3, return alt pppoe2
metric pppoe3 allnets наименьшая
Правильно ли все сделал, поднимется ли все как надо после ребута, и важна ли метрика(таблицы ведь разные)?
Немного не по теме: как проверить через какого провайдера идет ipsec, tracert не помогает...