Добрый день.

Прежде чем задам вопрос, хочу поблагодарить всех, кто помогает решать возникшие вопросы, с помощью этого форума. Несколько моих обращений - все были решены. Спасибо.

Теперь к вопросу.

В разных городах есть по роутеру DFL-260e. Поднимаю между ними IpSec. Всё по инструкции - работает!
Но... По инструкции всё идёт через таблицу маршрутизации "main" и интернет и Ipsec.
Через "main" мне не нужно, так как между этими 2-мя роутерами, хочу настроить 4 ipsec (так как есть по 2 прова с обеих сторон).
Тоесть при обрыве связи любого из 4-х провов, нужно чтоб ipsec был поднят.
Я упёрся в "routing rules". Ведь нужно правило, чтоб через "main" маршруты не ходили, а ходили по отдельным таблицам маршрутизации.
Собственно какое должно быть правило в "routing rules", чтоб всё ходило через "main", а ipsec через другие таблицы маршрутизации?

Почему хочу отказаться от "main", потому, что все айписеки не переключаются между собой при разрыве связи, тоесть при переключении с одного прова на другой.

Не знаю насколько удалось объяснить что нужно, но если что не понятно, спрашивайте.
Заранее благодарю тех, кто откликнется

Нельзя заставить туннель IPSEC_11 ходить только через wan1, а IPSEC_21 -- только через wan2, если у них одинаковый "remote endpoint". Если разные -- пожалуйста, пишите маршрут в main на требуемую "remote endpoint". У меня не работала маршрутизация IPSEC через альтернативные таблицы на старых прошивках, как на 2.40 -- не проверял. А вот внутри туннелей для правильного возврата пингов (мониторинг) PBR нужно сделать.
В результате 4 туннеля не получится. Только 2: wan1<-->wan1, wan2<-->wan2. Тема обсуждалась много раз.

заставить туннель IPSEC_11 ходить только через wan1, а IPSEC_21 -- только через wan2 мне и не нужно и понятно почему так сделать нельзя Но. мне нужно не заставить, а в случае обрыва одного из каналов поднять 2-й айписек.
Тоесть постоянно будет поднят один айписек: wan1<-->wan1.
Но в случае обрыва связи одного прова, будет поднят 2-й айписек: wan2<-->wan1.
Тоесть по мониторингу при обрыве wan1 у меня весь трафик переключается на wan2. Почему нельзя сделать, чтоб подымался айписек который например с большей метрикой: wan2<-->wan1 ?

Если хотите поэксперементировать -- пожалуйста, может и найдете способ, но на текущий момент, насколько я знаю, ни у кого на этом форуме не получилось сделать как Вы хотите, даже у danivovav. Два туннеля -- на здоровье, вот http://forum.dlink.ru/viewtopic.php?f=3&t=127202

кстати как идея :

на том у кого один интернет поднимите до кучи у него PPTP L2TP сервер ,

на том DFL у которого два интернета натяните wan1<-->wan1 , а с Wan2 Поднимите PPTP\L2tp клиента ,
метриками и правилами разрулите маршрутизацию - думаю такая схема должна работать , но в этом случае туннели будут подняты оба - а трафик будет бегать по первому туннелю wan1<-->wan1, при помощи мониторинга отключайте его . и тогда траффик пойдет по другому маршруту уже через VPN туннель.

думаю схема будет работоспособная ... как вариации упражнения с интерфейсами что куда тянуть

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Vladimir22 1) У топикстартера по 2 WAN; 2) Даже если Ваша идея будет работать, не стоит оно таких вывертов.
Я уже писал по этому поводу -- 2 туннеля: защите от любого одиночного отказа и от 1/3 двойных, 4 туннеля: защита от любого одиночного отказа и от 2/3 двойных.
Если уж непременно хочется сделать 4 туннеля, то можно попробовать GRE -- у него есть дополнительный параметр, исходящий IP, возможно, через него удасться привязать туннель к определенному WAN. Правда GRE не шифрует, но внутри можно тот же IPSEC пустить.

Я всётаки попробую поиграться с 4-мя туннелями, только единственный минус, о котором пишет alex63, это то, что не работает ipsec через альтернативные таблицы маршрутизации. У меня прошивка новая, но тоже не работает, только в таблице main. Поиграюсь ещё, если получится с альтернативной таблицей, буду пробовать ipsec на 4 маршрута...

Ерунда получается... Даже при варианте, что Вы мне предлагаете (wan1<-->wan1 и wan2<-->wan2) корректное переключение ipsec вообще не будет.
Тоесть имея по 2 прова с каждой уд.точки, ipsec в любом случае будет один.
Переключение возможно будет только если упадёт пров 1 на первой точке и пров 1 на второй. В случае обрыва прова 1 только на одной из точек, ipsec не подымется...
Фигня с DFL-ами получается...

Вы не правы. Резервирование по схеме "2 туннеля" хорошо работает на DFL у меня и у других. Ссылка Вам уже давалась.