Как организовать такой принцип отказоустойчивого соединения сетей ?

Штатный режим.

DFL-860E ______ Internet_________DFL-260E
WAN1 ------- IPSec_Tunnel1 ------ WAN1
WAN2 ------- IPSec_Tunnel2 ----- WAN2

При обрыве WAN1 на DFL-860E и WAN2 на DFL-260E:

DFL-860E________Internet_______DFL-260E
WAN2 ------- IPSec_Tunnel3 ------ WAN1

или соответственно

DFL-860E _______ Internet _______DFL-260E
WAN1 ------- IPSec_Tunnel4 ------ WAN2

Или предложите свой вариант.

Так не получится. Только

WAN1 --- WAN1
WAN2 --- WAN2

или

WAN1 --- WAN1
WAN2 ---/
(WAN2 на второй DFL без дела).

Причина -- туннели не привязываются к интерфейсам, вы не можете "объяснить" DFL, что пакеты, относящиеся к вот этому туннелю нужно отправлять через вот этот интерфейс, работает обычная маршрутизация. Во втором случае фактически один туннель, который "перескакивает" по Route Failover на левой DFL.

А если поставить на "центре" два DFL-860E и сделать такие тунели:

DFL-260E======Internet =========DFL-860E
==DFL-860E
WAN1 ------------ IPSec1 ----------------- WAN1
WAN2 ------------ IPSec2 ----------------- WAN2
WAN1 ----------- IPSec3 ----------------- WAN3
WAN2 ------------ IPSec4 ----------------- WAN4

Где WAN3 - это порт WAN1 второго DFL-860E, WAN4 - это порт WAN2 второго DFL-806E
на WAN1 и WAN4 приходит один провайдер с пулом IP на WAN2 и WAN3 приходит второй провайдер с пулом IP
И LAN двух DFL-860E объединить.

Так будет работать?

Наверное, будет, но зачем такие сложности? По первой из моих схем работоспособность сохраняется при любом одиночном отказе и при 1/3 от двойных отказов. У Вас будет любой одиночный отказ и 2/3 от двойных (если с любой стороны вырубятся оба канала -- не поможет ). Овчинка не стоит выделки. Тогда уж лучше по 3 провайдера подключать. Или 2, но надежных . Просто если у Вас с обеих сторон одинаковые провайдеры, не скрещивайте туннели между провайдерами, чтобы не потерять связь в случае глобальной аварии у одного.

Идеальным решением будет IPsec с группами адресов с обоих сторон. Однако, такое хоть и можно сконфигурировать на DFL, работать оно не будет.

Делайте статическое распределение между WAN, как вы написали сначала. Практика показывает, что этого достаточно.

Если совсем надо и от провайдера есть дополнительные адреса, можно на них сделать и "перекрестные".

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc