В системе был создан туннель для траффика меду сетями lannet и rst-novocherkassk-net,
для сеть rst-novocherkassk-net создан вручную статический маршрут у которого настроен мониторинг туннельного интерфейса в которфй он ведет
по идее когда VPN соединение устанавливается маршрут должен подниматся, когда соединение отсутствует - пропадать, но
данный алгоритм неработает. В тестовой конфигурации туннель на другой стороне несконфигурирован вообще.
вот что показывает устройство

DFL-260E:/> ipsecstats
--- Active IPsec SAs:
There are no active SAs

DFL-260E:/> routes
Flags Network Iface Gateway Local IP Metric
----- ------------------ -------------- --------------- --------------- ------
217.79.19.208/29 wan 100
M 192.168.21.0/24 vpn_to_novocherkassk 50
192.168.9.0/24 lan 100
0.0.0.0/0 wan 217.79.19.209 100

DFL-260E:/> routemon
Currently monitored interfaces and/or gateways


Flags Interface Table Net Gateway Link ARP Host
----- ------------ ---------- ------------------ --------------- ---- ---- ----
M vpn_to_novocherkassk 192.168.21.0/24 0.0.0.0 OK -

вот конфигурация

<!-- IPsecTunnel -->
<IPsecTunnel Name="vpn_to_novocherkassk" LocalNetwork="InterfaceAddresses/lannet" RemoteNetwork="VPN/" RemoteEndpoint="VPN/rst-novocherkassk-gw" IKEAlgorithms="Standard" IPsecAlgorithms="Standard" AuthMethod="PSK" PSK="smr-novocherkassk-key" PFS="PFS" PFSDHGroup="1" KeepAlive="Manual" KeepAliveSourceIP="InterfaceAddresses/lan_ip" KeepAliveDestinationIP="VPN/novoch-DFL-loc-ip" AutoInterfaceNetworkRoute="False" />

<!-- RoutingTable -->
<RoutingTable Name="main" Ordering="Default" RemoveInterfaceIPRoutes="True" Comments="The main routing table of the system.">
<Route Interface="vpn_to_novocherkassk" RouteMonitor="True" MonitorLinkStatus="True" Network="VPN/rst-novocherkassk-net" Metric="50">
<MonitoredHost IPAddress="VPN/novoch-DFL-loc-ip" />
</Route>
</RoutingTable>

Мониторинг туннелей нормально работает, если использовать "host monitoring". А вот MonitorLinkStatus, вероятно, не будет работать, поставьте галку "Enable Host Monitoring" вместо этого.

Т.е. фактически мониторинг туннеля неработает в данном оборудовании?

Используя host monitoring я несмогу получать данные о работе непосредственно туннеля, предположим мой реальный адрес с которого строится туннель, стал доступен, но по каким либо причинам фазы IKE или ISAKMP неработают корректно, как следствие туннель построен небудет, а на DFL маршрут поднимется и напривит весь траффик в неработающий туннельный интерфейс.
Если же я начну мониторить хост находящийся по ту сторону туннеля, то пакеты могут проходить какими то другими путями.

Повторяю еще раз -- мониторинг туннелей работает в режиме "host monitoring". Host monitoring -- наиболее надежный способ для любого интерфейса, т. к. проверяется фактическое прохождение пакетов (ping).
Разумеется, нужно мониторить внутренний, а не внешний адрес. Для тестирования пинги посылаются именно тем маршрутом, на который делается мониторинг, иначе это бы не имело смысла. Правильный возврат при наличии двух параллельных туннелей обеспечьте сами через альтернативные таблицы PBR, как обычно.

PS. Иногда удобно, чтобы можно было контролировать туннель внешними срадствами, хотя бы ping и tracert с компьютера. Для этого на вкладке "routing" свойств туннеля назначьте явный адрес его порталу и на другой DFL сделайте на этот адрес безальтернативный маршрут только через "свой" туннель, но для мониторинга средствами самой DFL это не обязательно.

[quote="alex63"] Для тестирования пинги посылаются именно тем маршрутом, на который делается мониторинг, иначе это бы не имело смысла. Правильный возврат при наличии двух параллельных туннелей обеспечьте сами через альтернативные таблицы PBR, как обычно.
Спасибо за разьяснения, к сожалению данное правило явно в документации не прописано, хоят и логически верно.
Также именно в документе How_to_configure_IPSec_VPN_Failover_v1.1 указано что надо мониторить именно интерфейс (тунельный), было бы логично исключить туннельные интерфейсы из выпадающего списка при выборе.

P.S. Спасибо за Ваш ответ, теперь стало понятней.