День добрый.
Имеется следующая схема:

Центральный офис - DFL860e
wan1 - статик ip
wan2 - pppoe (adsl модем в режиме бриджа)

Филиал - DFL260e
wan1 - статик ip
wan2 - статик ip

С горем пополам настроил резервирование wan каналов

При обрыве wan1 переходит на wan2, после восстановления возвращается обратно (каналы мониторяться пингом на 8.8.8..
Вопрос первый - верна ли схема, или нужно что-то исправлять?

И второе: Задача - организовать ipsec туннель с переключением на резервный при недоступности основного.
Начал строить по руководству http://dlink.ru/ru/faq/85/575.html а также инструкции с форума:
1) Objects > Address book > RemoteNetworks
Делаете объекты
remote_ip1, remote_ip2 - адреса wan1 и wan2 удаленного DFL
remote_net - lannet удаленного DFL
remote_dfl - lan_ip удаленного DFL

2) Routing > Routing tables > main
Добавляете маршруты
wan1 remote_ip1 wan1_gw 1
wan2 remote_ip2 wan2_gw 1

3) Interfaces > IPsec
Настраиваете туннели ipsec_remote1 и ipsec_remote2, автоматическое создание маршрута отключаете

4) Interfaces > Interface groups
Делаете группу ipsec_remote из ipsec_remote1 и ipsec_remote2

5) Rules > IP rules
Делаете правила
Allow ipsec_remote/remote_net core/lan_ip ping-inbound
Allow ipsec_remote/remote_net lan/lannet all_services
Allow lan/lannet ipsec_remote/remote_net all_services

6) Routing > Routing tables > main
Делаете маршруты на туннели как по FAQ (разные метрики) с применением ICMP мониторинга на remote_dfl
ipsec_remote1 remote_net 90
ipsec_remote2 remote_net 91

7) Routing > Routing tables
Добавляете таблицу маршрутизации alt_wan1 с ordering only, добавляете в нее единственный дефолтный маршрут на wan1 без мониторинга - wan1 all-nets wan1_gw 100
Аналогично для wan2 (alt_wan2)
Добавляете таблицу alt_ipsec_remote1, добавляете в нее единственный маршрут - ipsec_remote1 all-nets 100
Аналогично для ipsec_remote2 (alt_ipsec_remote2)

Routing > Routing rules
Делаете правила
wan1/all-nets any/all-nets, forward main, return alt_wan1
wan2/all-nets any/all-nets, forward main, return alt_wan2
ipsec_remote1/all-nets any/all-nets, forward main, return alt_ipsec_remote1
ipsec_remote2/all-nets any/all-nets, forward main, return alt_ipsec_remote2
Если вам не надо одновременную доступность обоих WAN-ов, то первые два правила можно переписать в виде
wan1/remote_ip1 any/all-nets, forward main, return alt_wan1
wan2/remote_ip2 any/all-nets, forward main, return alt_wan2


Затык начинается с пункта 7. Не могу понять что нужно сделать - добавлять новые алтернативные таблицы маршрутизации (в моей схеме все маршруты в mine)
или переделывать существующие?

Надо альтернативные

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Т.е. условие Routing > Routing tables > main №3
Route IPv4 Rostelecom\all-nets wan2_gw 95 Yes
перенести в альтернативную таблицу alt_wan2.

И добавить Routing > Routing rules
wan2/all-nets any/all-nets, forward main, return alt_wan2

Сделал через альтернативные таблицы и правила - все заработало.
В основном туннеле скорость нормальная, а в резервном
Send Rate: 6 kbps
Receive Rate: 29 kbps
Это конечно adsl, но все равно очень мало.
Где капать?

А еще туннели при обрыве долго переключаются (3-5 мин)

На резерве в момент замера у вас рабочий трафик или обрывки какие?
Время переключения можно регулировать уменьшением максимального времени отклика и увеличением минимального количества обязательного отклика.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc