Добрый день, коллеги.
Кто нибудь реализовывал такую схему?
Вот мои соображения.
Маршрутизация
в main:
IPSec_tunnel_1/Remote_net 90 + мониторинго удалённого DFL
IPSec_tunnel_2/Remote_net 90 + мониторинго удалённого DFL
в alt_ipsec1:
IPSec_tunnel_1/Remote_net 100 без мониторинга
в alt_ipsec2:
IPSec_tunnel_2/Remote_net 100 без мониторинга
в alt_pbr_ipsec:
IPSec_tunnel_1/Remote_net 100 + мониторинго удалённого DFL
IPSec_tunnel_2/Remote_net 100 + мониторинго удалённого DFL
Правила маршрутизации
alt_ipsec_tunnel_1:
IPSec_tunnel_1/all_nets---any/all_nets прямая main обратная alt_ipsec1
alt_ipsec_tunnel_2:
IPSec_tunnel_2/all_nets---any/all_nets прямая main обратная alt_ipsec1
pbr_ipsec:
lan/lan_net---IPSec_lan_group/all_nets прямая alt_pbr_ipsec обратная main
включаю балансировку alt_pbr_ipsec алгоритм destanation

упорно ходит только по первому туннелю.

А хочется чтоб нагрузка распределялась на оба туннеля. В случаи отсутствия одного из них всё тогда шло по рабочему, при появлении опять распределялась на оба.

В main сделайте метрики 90 для одного туннеля и 91 для второго
На таблицу alt_pbr_ipsec у вас сделан RLB instance?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

метрику выставил, RLB сделан да, на таблицу alt_pbr_ipsec алгоритм Destination.

Видимо основными преимуществами данных устройств перед похожими аналогами никто не пользуется(((

Подскажите правильную реализацию вот таких требований:

Имеем схему на тестовом стенде


Нужно обеспечить работу рабочей станции (PC1) с сетью 192.168.1.0/24 по тоннелю IPSEC2 остальные рабочие станции должны до этой сети ходить через IPSEC1

В идеале конечно хочется еще и failover получить. То есть присутствует два канала IPSEC - работает правило PC1 идти в IPSEC2 - остальные хосты в IPSEC1.
Один из тоннелей упал - весь трафик заворачиваем в оставшийся IPSEC тоннель.
Это реализуемо?

1) Для новой проблемы нужно создавать новую тему, а не реанимировать старую чужую.
2) Естественно, можно. Делается точно так же, как часто встречающаяся задача: "группу VIP пустить в Интернет через wan2, остальных -- через wan1", по которой есть FAQ, а именно -- через PBR.

1. Старая чужая как нельзя лучше соответствует моей проблеме. Ответа в этой теме человек так и не получил.
Поэтому я и написал тут.
2. Про PBR я знаю в применении к обычным WAN интерфейсам. И PBR в этом случае настраивается с "одной" стороны. Речь идёт о IPSEC, и вот для подобных РАБОЧИХ конфигураций практически нет нормальных FAQ.
Как правильно в этом случае прописать PBR на обоих устройствах?

Будте любезны, приведите ссылки либо пример пошаговой настройки в скриншотах.
Думаю, если у вас получится реализовать подобную конфигурацию - огромное число людей вам скажут спасибо и поместят статью в FAQ.

Ну, так настройте с двух. На входящие настройте возврат http://forum.dlink.ru/viewtopic.php?f=3&t=161874

Информации в мануале, FAQ и на форуме более чем достаточно. Пошаговых инструкций под все случаи сделать невозможно, это тупиковый путь Хотите персонально для Вас -- платите деньги.
Кстати, за время работы с DFL я использовал пошаговую инструкцию только один раз -- по вопросу привязки дополнительного IP к интерфейсу. Всё остальное делал по "NetDefend OS Firewall User Manual". Работает почему-то .

Вот тут - viewtopic.php?t=127202 - было описание по настройке IPsec failover. Для RLB надо добавить еще одну таблицу маршрутизации, на нее RLB instance и PBR для заворачивания LAN->IPsec трафика.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc