Здравствуйте.
Задумал сделать на DFL-210 failover конфигурацию.
Два провайдера - BeeLine и Акадо.
Таблица маршрутизации выглядит так, как на картинке (там еще и IPSec между этим и другим роутером).
http://s013.radikal.ru/i325/1207/07/6135c9ed567e.jpg
Настроен мониторинг интерфейсов Beeline и wan, причем wan настроен так, чтобы он всегда отключался, в случае падения Beeline (wan - это просто локальная сеть и толку от нее без поднятого l2tp никакого). Отключение wan сделано просто - настроен мониторинг через ping http://www.ru. Правда система ругается, что этот адрес не рутится для этого интерфейса, но как по другому сделать - не знаю.
Собственно проблема вышла такая. Почему-то перестал подниматься l2tp, если указать в адресе сервера dns:tp.internet.beeline.ru. Если же указать 85.21.0.247, то все подключается.
http://s017.radikal.ru/i403/1207/4c/16d8da457a65.jpg
Вопросы такие:
1. Правильно ли настроен failover?
2. Что я мог нахимичить, что перестало восприниматься DNS имя сервера l2tp.
Если какие-то еще скниншоты нужны, я прикреплю к ответу.
Очень прошу помочь.

1. На что указывает маршрут wan/pptpgroup ?
Вообще, актуальные сейчас VPN сети - 78.107.1.0/24 и 85.21.0.0/24
Также, надо аналогичный маршрут на DNS cthdthf

2. Покажите скрины вкладок мониторинга маршрута beeline/all-nets
Должен быть только мониторинг пингом

3. Что у вас прописано в System > DNS?
Это должны быть wan_dns1/2, причем на них должны быть маршруты, аналогичные п.1

4. Покажите Rules > IP rules > lan_to_wan
Должно быть 2 пары правил или все правила переделаны на группу wans (оба wan-интерфейса)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Маршрут wan/pptpgroup у меня указывает на 85.21.0.0/24. Стало быть надо еще и на 78.107.1.0/24?
Для DNS я вообще не делал маршрутов... Как правильно сделать - прописать к тем, что выданы по DHCP для wan-интерфейса или есть какая-то подсеть с серверами DNS (хотя вряд-ли такое)?



Здесь так и есть. Только пинг.

http://s019.radikal.ru/i612/1207/d8/04482bd5c08f.jpg
http://s001.radikal.ru/i194/1207/3d/67ef69375aca.jpg



DNS правильные стоят. Маршруты, как я понял достаточно один раз прописать?

http://s55.radikal.ru/i148/1207/3e/6936c3e8b38b.jpg



Вот все правила, что есть.

http://i072.radikal.ru/1207/57/ca1e2494f39c.jpg

В общем поменял таблицу маршрутизации так
http://s018.radikal.ru/i502/1207/3c/3902f4e694af.jpg

Теперь туннель поднимается
http://s42.radikal.ru/i096/1207/d8/4a000756db50.jpg

Спасибо большое за помощь.

Есть, правда еще вопросы.
Порядок следования маршрутов в таблице играет роль? Дело в том, что как бы я не распределял их, после перезагрузки они будут в том порядке, в котором нравится роутеру.
И еще. Вот я выдернул из роутера wan кабель. Он переключился на dmz (по прошествии некоторого времени, но это нормально). Теперь я воткнул кабель wan на место. Как объяснить роутеру, что нужно опять перейти на wan-интерфейс, а то он остается работать через dmz и переключать приходится с помощью quick restart.

Сделайте группу из подсетей VPN + объектов wan_dns1/2 и используйте эту группу в маршруте на физ. интерфейс


Порядок не важен, важны метрики - логическое упорядочивание идет по ним


Должно все быть автоматически через минуту
Покажите Status > Interfaces > Beeline и Status > Routes через 5 минут после обратного включения основного интерфейса


Маршрут wan/wannet мониторить не надо
Маршрут wan/all-nets - резервный? Если нет, то его вообще уберите

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Я поторопился... Все переключается. Надо просто подождать. Где-то в течение минуты-полутора.




Маршрут wan/all-nets относится к локалке билайна. Когда надо было сделать мониторинг, я просто сделал такие же, как были для wan, только с меньшей метрикой. Выходит, что wan/all-nets вообще не нужен при таких условиях?
Попробовал отключить мониторинг с wan/wannet - вообще что бы то ни было перестало переключаться. Вернул на место - тоже не работало (не выключался маршрут l2tp соединения).
Помогла заливка прошивки и предыдущей конфигурации. Видимо, есть какая-то проблема в железке (к примеру, если dfl выключить из сети и тут же включить, то он недозагружается - работает, как свитч, но нельзя зайти на веб-интерфейс и интернета нет никакого). Видимо, надо в Графский переулок отнести девайс, чтоб проверили. Не должен он так себя вести.
Как бы то ни было, failover есть, огромное спасибо за помощь, а то что dfl хромает, тут ничего не поделаешь.
Не совсем по теме вопрос остался.
Сделал возможность удаленного управления, но оно возможно только через интерфейс dmz. Никак не могу настроить, чтоб можно было управлять через IP, полученный по l2tp соединению. До этого стоял на том же месте DI-824 и там все работало по внешнему IP. В чем может быть причина?
И трассировка не ходит через dfl. При том, что TTL min проставил = 1 и вместо TTL on Low = DropLog значение Log поставил.

Маршрут wan/all-nets явно не нужен, мониторить wan/wannet тоже

Покажите Status > Routes

Думаю, ваши проблемы в некорректной настройке, в 99% случаев это именно так

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Маршруты выглядят так
http://s019.radikal.ru/i615/1207/e7/a07684b12a8c.jpg

Дайте маршруту на pptpnet приоритетную метрику, например 10

Выведите маршруты на all-nets в метрики выше 100 (для наглядности)

Уберите маршрут wan/all-nets и мониторинг с wan/wannet

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

А если метрику для pptpnet поставить выше, чем у соединения Beeline, не получится, что вместо билайновского маршрута, он погонит трафик по более приоритетному маршруту, который кроме серверов никуда не ведет?

По этому маршруту пойдет только трафик до указанных подсетей - в них кроме DNS и РРТР серверов ничего нет.
Более того, если у вас нет NAT правил на wan, никакой клиентский трафик туда и подавно не пойдет.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Действительно.
В общем заработало все на ура.
Я еще раз все проверил - failover есть и обратно тоже переключается. Ура. Большое спасибо.
Остались только не совсем по теме вопросы. Буду очень благодарен, если подскажете.
Сделал возможность удаленного управления, но оно возможно только через интерфейс dmz. Никак не могу настроить, чтоб можно было управлять через IP, полученный по l2tp соединению. До этого стоял на том же месте DI-824 и там все работало по внешнему IP. В чем может быть причина?
И трассировка не ходит через dfl. При том, что TTL min проставил = 1 и вместо TTL on Low = DropLog значение Log поставил.

По удаленному соединению ваша проблема в том, что управление будет возможно лишь по дефолтному маршруту
System > Remote management - добавьте еще один на Beeline
Routing > Routing tables
Добавьте таблицы alt_beeline, alt_dmz
Добавьте в них маршруты beeline/all-nets/100 и dmz/all-nets/dmz_gw/100 (маршрут на L2TP не имеет шлюза)
Routing > Routing rules
Добавьте правила
beeline/all-nets any/all_nets, forward main, return alt_beeline
dmz/all-nets any/all_nets, forward main, return alt_dmz

По пингу и вообще вашим правилам: они у вас в неправильном порядке - первое перекрывает все остальные
Правильный порядок: drop_smb-all, allow_ping-ounbound, allow_ftp-passthru (поменяйте в нем сервис ftp-passthru-av на ftp-passthru) и только потом последним - allow_standard

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да, с правилами это я поменял, когда у меня не стал подключаться сетевой диск через IPSec тоннель - для исключения блокирования smb.
Сейчас вернул все на место - трассировка пошла нормально. Спасибо.
С удаленным управлением никак не разберусь. Еще с самого начала добавил все интерфейсы в Remote Management, но работает только по dmz.
Таблицу alt_beeline сделал, но все равно удаленное администрирование по интерфейсу Beeline не заработало.
Хочу уточнить - ордеринг ставить default? Впрочем, я ставил и only и first - никак не хочет работать.
Видимо, дело в том, что у интерфейса Beeline нет шлюза.
Сейчас выглядит так
http://i047.radikal.ru/1207/b9/48c9e3bcea15.jpg
http://s019.radikal.ru/i633/1207/31/cb67de22fd2b.jpg
Такой вопрос еще - а зачем для dmz альтернативная таблица?

Если у вас 2 основных канала, через акадо и билайн, то для удаленного управления через оба канала надо настроить PBR.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.