Спасибо за ответы . Сегодня попробовал вариант предложенный alex63 . А в частности : на стороне филиала в настройках remote-endpoint ничего не ставим и соответственно keep-alive - disable , те инициирует создание туннеля головной офис . При физическом отключении wan1 (основной канал на стороне головы) , туннель поднимается через резервный. Все работает. Самое интересное происходит потом , при включении wan1. Такое подозрение что трафик продолжает идти по старому пути (через резервный канал , но так как он у нас тарифицируется, такое недопустимо на продолжительное время) , через туннель создавшийся через wan2. По логике вещей , туннель должен перебросится на wan1 . Но самое забавное происходит при отключении wan2 (я имею ввиду , когда wan1 заработал и маршрут по умолчанию восстановился). Как начинает работать туннель я так и не смог понять , потому что пинг и ресурсы из головного офиса доступны , а со стороны филиала - ничего нет. Я специально зашел на сервер на филиале через туннель, и пытаюсь пинговать офис - тишина. Включил обратно wan2 - тишина. Что то происходит с маршрутизацией со стороны филиальского DFL . Такое подозрение , что если пакет через него проходит (из головы на филиал), то обратно он возвращает по тому же маршруту, а если инициируется пакет со стороны хостов филиала - у него сносит башню. Вылечилось только перезагрузкой DFL филиала.

DPD в филиале включено? В главном офисе PBR (альт. таблицы маршрутизации) не используются?
Посмотрите подробнее, что происходит (Status/Routes, Status/IPSEC, Log).
Попробуйте, как советовали здесь, сделать группу из двух IP и указать ее в филиале как "Remote Endpoint" -- изменится что-нибудь? Ну и прошивки обновите, если они не последние.

на стороне филиала, время жизни IKE IPSec поставь идентичное времени жизни тоннеля, и нужно в адвенсет айпитсека убрать галочку с автомаршрута и прописать его ручками.

viewtopic.php?f=3&t=124240
на первой стр. ближе к концу
кто-то вроде назвал этот вариант - резервированием в треугольник
три года назад еще писал:
"так получается, ежели окромя нас так никто не делал, то надо отфаковать тему, и вообще в факе нерабочий вариант, его поправить надо
ТП ау..."
конец цитаты

с тех пор хочу попробовать схему с двумя "встречными треугольниками", но что-то никак подходящего случая не попадается

и еще тогда такой момент был, обратил внимание, при восстановлении основного wan (резервный отрубил при этом), проверял пингом
и в общем не пингует, 30 сек., минуту, больше, смотрю на экран, думаю щас пользователи на меня начнут давить, 1с-ка то вырубилась
и тут замечаю что народ нормально в 1с работает, т.е. цитрикс нормально отработал и сеть есть, а пинги не понять каким путем не могут достучаться, правила все проверил, все нормально
т.е. пинг начинает работать минуты через 2

Ну вот и тему нашли. Плохо все же, что администраторы не отслеживают форум и не выносят работающие решения в FAQи или прикрепленные темы. Я уже писал по вопросу возврата входящих через альтернативные таблицы -- тема поднимается 100500 раз и не ясно, что проще -- писать очередной раз, как это делать или искать ссылку, вразумительного FAQ до сих пор нет.

Всё-таки не ясно, есть разница и какая между remote endpoint - none (aka динамический туннель) и группой.

А схема "с двумя "встречными треугольниками"" -- это по другому "крест-накрест", то, что Vladimir22 обещал сделать на сертификатах, многие пробовали, но не у кого не получилось .

а напишите еще раз пожалуйста ссылку про "по вопросу возврата входящих через альтернативные таблицы"

Да Вы наверняка это знаете. Речь о том, что имеется, к примеру, HTTP сервер и два канала WAN1 и WAN2 и хочется, чтобы сервер был доступен через любой, незвависимо от резервирования и прочих фокусов на выход. И для туннелей это нужно, если у Вас их 2 в параллель. Да знаете же . Просто среди официальных документов это написано только в факе по резервированию, в самом конце и то криво.