Добрый день всем пользователям DFL продуктам. Есть вопрос либо к разработчикам , либо к тем кто уже сталкивался с подобным и нашел решение. Необходимо организовать отказоустойчивый IPSec туннель между центральным офисом и уделенными филиалами. В центральном офисе есть два канала wan1 (основной) и wan2(резервный) DFL-860 fw 2.27.03.25-14780 , на филиалах DFL-260e fw 2.40.01.08-17758 и всего один wan1, резерва нет. Из той документации , что есть у dlink , схема строится при наличии основного и резервного канала с обеих сторон, а от способа когда с одно стороны есть два канала , а с другой стороны всего 1 , увы нет. Все попытки сделать отказоустойчивый IPSEC результат не дали. И как его строить при данной схеме не совсем понятно. По логике вещей туннель должен быть один , и DFL при обрыве туннеля на основной канал в головном офисе , должен поднять его по резервному каналу или все таки надо строить два туннеля и через мониторинг маршрута переводить маршрутизацию на запасной канал? Я перепробовал все что мог - не работает. Попробую описать свои действия. Со стороны головы - туннель один , со стороны филиала , я настраиваю два туннеля , на основной IP головы и на запасной IP головы. В настройках туннелей на филиале, я отключаю добавление маршрута , и добавляю его статически вручную с разными метриками . В настройках туннеля основного keep -alive стоит avto , в настройках запасного туннеля если я ставлю keep-alive avto, все падает сразу , если disable , туннель на основной канал головы поднимается , а на запасной нет. Прошу помощи в разъяснении схемы построения IPSEC туннелей.

Два туннеля в таком варианте не будут работать "по вине" маршрутизации -- невозможно объяснить DFL в центральном офисе, что VPN2 должен выходить только через WAN2. Делаете один туннель, в удаленном офисе не заполняете поле "Remote Endpoint" -- туннель будет подниматься только с одной стороны, с головного офиса. Разумеется, в головном офисе должно быть настроено резервирование Интернета (route fail over). Более подробно поишите по форуму -- тема поднималась.

Если пробовать поднять туннели на сертификатах то должно получится .
Сами туннели на сертификатах я поднимал - но вот фаловер не делал .
как вариант могу предложить прикрутить в головном офисе DynDNS , в офисах указать в качестве удаленного шлюза это Имя , тогда молучится практически то что вы хотите . но помните про маршрутизацию .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Vladimir22, Вы постоянно рекламируете туннели на сертификатах. Как сертификаты влияют на маршрутзацию, я никак не могу понять. Вы мне уже обещали сделать 4 туннеля со скрещением в варианте по два WAN с каждой стороны, якобы на сертификатах так можно, и где?

то что я поднимал один туннель , на PSK а второй на Сертификате.

по поводу туннелей , нет у меня такого стенда . да и времени по большому счету нету для таких эксперементов . сеть у меня рабочая и больших изменений в ней делать не хочется .

по поводу рекламмы , это один из способов натянуть туннели а как там что вы будете делать это ваше все .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Речь идет о том, что невозможно сделать на DFL два туннеля, ведущие в одну "Remote Endpoint", но выходящие через разные локальные интерфейсы. У меня не получилось, у danilovav тоже не получилось. Если у Вас получилось -- пример в студию, если нет -- не надо мутить воду.

Спасибо всем кто откликнулся ! Я так понял , что многие задавались данным вопросом. Небольшие комментарии : туннели подняты на сертификатах . Все работает без вопросов. "Речь идет о том, что невозможно сделать на DFL два туннеля, ведущие в одну "Remote Endpoint", но выходящие через разные локальные интерфейсы" Этим вопросом я тоже озадачивался . В настройках IPSEC на вкладке Routing есть такой пункт : Automatically pick the address of a local interface that corresponds to the local net и Specify address manually . Описание вменяемого в документации на эти пункты я не нашел , но такое подозрение судя по смыслу - это как раз от имени какого интерфейса работает туннель. Хотя манипуляции с этим результата тоже не дали. Я пока не могу понять , возможно ли такую задачу в принципе решить при данных условиях ? Я не совсем могу понять - со стороны филиала должны быть два туннеля или все таки один и со стороны головы - два туннеля или один ? Route fail over в голове я настроил - все работает и маршрутизация переключается на резерв при отказе основного пути.

я бы предложил еще идею ....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Пока vladimir22 не додумал идею , повторю: задача и в принципе и на практике решалась одним туннелем, см. мой первый пост в этой теме и поищите по форуму.

Что же касается указанных Вами настроек -- они к обсуждаемому вопросу не имеют отношения, а позволяют назначить ip-адрес порталу туннеля, т. е. туннель становится полноценным интерфейсом, как, например, WAN со своим IP, а не цепляется к ip-адресу интерфейса LAN, как обычно. Этот адрес "внутри", а не "снаружи".
Эта фича, в частности, в конфигурации с двумя WAN с каждой стороны, где действительно делается два туннеля, позволяет обычной tracert определить, через какой туннель в данный момент идет трафик.

всё на много проще, работает такая схема у меня уже давно.
в головном офисе:
создать тоннель, убрать галочку автоматически добавить маршрут, зайти в маршрутизацию, добавить маршрут вручную, создать дополнительную таблицу маршрутизации где ван2 будет иметь меньшую метрику, в правилах маршрутизации создать правило для альтернативной таблицы, для ipsec трафика, в ARP добавить ваш прямой айпи для интерфейса ван2. кип элив ауто.
так же для того что бы работал failover нужно в интерфейсах с ван1 и ван2 убрать галки добавить маршрут автоматически, и прописать их ручками.
на стороне филиала:
создаёте туннель, в адресной книге создаёте IP4 group состоящую из двух прямых айпи головного офиса, и указываете эту группу в айписеке, в качестве удаленной конечной точки. кип элив дисабл.
всё.

А если бы это еще разбить на пункты, снабдить картинками и оформить как инструкцию.

Многим могло бы помочь, если её будет возможно найти или прописать в Полезных Настройках на форуме.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да есть уже это, был пост от danilovav, где была расписана детально настройка такой конфигурации. Но туннель все-таки один.
У yumarik мне не ясны два момента:
1) Альтернативная таблица. Во первых, у меня IPSEC игнорировал PBR (экпериментировал на 2.27, на новых прошивках может быть и исправлено). Во вторых, в чем смысл PBR при одном-то туннеле?
2) Группа ip как "Remote endpoint". Сам так не пробовал, но на форуме говорили (возможно, danilovav), что это не работает. Возможно, туннель просто поднимается со стороны головного офиса. Вот если там убрать "Remote Endpoint" -- поднимется?

1) я тоже не уверен что они работают, но как то же он переключает трафик на второй ван, в случае падения первого, что интересно, что при восстановление ван1 по истечению действия IPsec IKE он возвращает тунель на первый ван. а если будет просто таблица маршрутизации без правил она получается тоже не работает. т.е. по "сути" этот пункт вообще можно вычеркнуть?
2) я не пробовал не ставить айпи, возможно будет работать если это поле оставить пустым, но точно не будет работать если будет указан один лишь ван1.

получается что по "простому" достаточно прописать маршруты ван1 и ван2 и включить монитор маршрута на ван1, и на другом конце не указывать конечную точку подключения, что бы туннели переключались.. кто попробует?

Вы что, читать не умеете? Третий раз пишу -- пробовали, работает с одним туннелем, ищите по форуму.

понятно дело что работает.

у меня уже года полтора как работает.