Как одновременно через любого из двух провайдеров подключаться к VPN-серверу, работающего на борту DFL-210?

Здравствуйте!
Имеется DFL-210, на порту WAN которого работает VPN (l2tp) сервер, интернет от первого провайдера.
Недавно завелся второго провайдер (МГТС), попутно, что называется, вместе в телефоном и IP-TV, в одной коробочке все это и еще коммутатор на четыре порта там же.

Вопрос. Как бы этого второго провайдера приспособить к VPN-серверу?
Чтобы одновременно через любого из провайдеров подключаться к VPN-серверу?
Есть следующий отрицательный опыт. На портах WAN и DMZ одинаковые (l2tp) VPN-серверы одновременно не работают.

Одновременно в смысле одно подключение через первого провайдера и второе через второго.

L2TP не пробовал, а PPTP нормально работает с двух каналов. При условии, что, конечно, сделан правильный возврат входящих соединений через PBR: viewtopic.php?f=3&t=161874.

Спасибо, буду работать.

Сделал правильный возврат входящих соединений через PBR: viewtopic.php?f=3&t=161874.

Заработало, и это здорово.
Но не все и как-то странно. Похоже что исходящий трафик ВСЕГДА уходит через wan.
Грешил на то что на dmz трафик приходит "проброшенный" с коробочки второго провайдера, и пробрасывается он некорректно. В этом ли дело?

Вопрос - а правильно ли я в обоих PBR указал main для исходящего (forward) трафика?
Попробую указать альтернативные таблицы и для исходящего (forward) и для входящего (return) трафика.

Попробовал.
pptp работает в обоих вариантах forward таблицы. l2tp не работает никак. ipsec работает частично

Да, forward table = main. Для альтернативных таблиц должно быть ordering = only. Всё это только для входящих соединений.
Маршрутизацию исходящих настраиваете отдельно, так как хочется (резервирование, балансировка). В простых случаях это делается в таблице main. Если, по какой либо причине нужно иметь альтернативные таблицы для исходящих, то это должны быть другие альтернативные таблицы.

Входящие соединения (примеры):
Из Интернета ping на внешний ip wan1 или wan2.
Из Интернета обрщение в внутреннему Web-серверу по любому wan (для сервера настроен проброс, конечно).

Исходящие соединения (примеры):
Из локалки открывается сайт odnoklassniki.ru.
Из локалки устанавливается PPTP VPN соединение на внеший cервер.

Во всех случаях трафик идет в обе стороны, но важно, кто инициирует соединение.

Ipsec туннель на запасном интерфейсе работает у меня в случаях когда он инициализируется другой стороной.
Проброс оказался ни при чем.

Задача.
Как маршрутизировать инициируемый нами ipsec туннель, чтобы направить его через запасной интерфейс dmz.
Не могу понять, как составить альтернативную таблицу и правило для этого случая.
Можно убрать "удаленная точка" (remote endpoint), превратив туннель в ipsec-сервер, и это работает, но хочется именно туннель.

Боюсь, только одним способом: маршрут в main на remote endpoint через требуемый интерфейс. У меня не получилось заставить IPSEC работать через альтернативные таблицы. Это именно особенность (глюк?) IPSEC, PPTP, например, прекрасно работает.

1. Работает у меня ipsec, но трафик в разные стороны по разным маршрутам похоже проходит, типа УдаленныйDFL -> dmz -> компьютер -> wan -> УдаленныйDFL.
2. Когда настроил резервирование и выдернул кабель из wan, ipsec продолжил работать уже в нормальном режиме.
3. А ipsec-сервер мой тоже по кругу начал трафик гонять, как в п.1, так что пользы от него нет.

Меня интересовала лишь ситуация п.2, так эта цель полностью достигнута.
А то что при обоих работающих каналах трафик по кругу ходит, забавно, но работе не мешает.

Спасибо, alex63

Чтобы трафик не ходил по кругу, внутри IPSEC-туннелей настройте возврат по альтернативным таблицам полностью аналогично тому, как Вы уже сделали для wan1/wan2(dmz). Т. е. еще две таблицы ipsec1_return, ipsec2_return, интерфейсы в маршрутах и правилах маршрутизации -- Ваши IPSEC-туннели.

Перепробовал варианты, не получается, не могу сообразить, каша в голове.

Смотрю соединения и вижу:
на локальном DFL:
UDP UDP wan:<удаленный wan>:4500 core:<мой wan>:4500 130
на удаленном DFL
UDP UDP wan:<мой wan>:4500 core:<удаленный lan_ip>:4500 128

То есть отсутствует соединение с <мой dmz> !!!
При том что на удаленном DFL в IPsec_tunnel в качестве remote endpoint указано именно <мой dmz> !!!
А стоит выдернуть кабель из wan-порта, в указанных соединениях вместо <мой wan> появляется <мой dmz> !!!
Вот такие странности.

У Вас только один туннель IPSEC?

Был второй IPSEC, типа transport, для l2tp сервера, работающего по основному каналу (мой wan).
Сейчас отключил для чистоты эксперимента.
Проверил IPSEC на удаленном DFL, Remote endpoint присутствует, то есть там тоже именно туннель а не сервер.

Картина соединений не изменилась, <мой dmz> там отсутствует.
Соединение инициируется с запасным каналом (dmz), а устанавливается с основным (wan) !

Удаленный DFL - 260E, куплен с прошивкой RU, сейчас прошивка 2.40.00 WW.
Локальный DFL - 210, прошивка 2.27.03

Если нужен туннель только через интерфейс dmz, добавьте на локальном DFL в main маршрут на внешний адрес удаленного через dmz. Если на удаленном только один интернет и нужно резервирование IPSEC на локальном wan/dmz, на удаленном в remote endpoint задайте либо none, либо группу из внешних ip wan/dmz локального (интересно, будет ли разница между этими двумя вариантами?). Принудительный маршрут в main на локальном DFL на удаленный в этом случае, естественно, делать не надо.

Я остановился на ipsec сервере на удаленном DFL (remote endpoint = none) и резервировании через мониторинг канала wan на локальном DFL.
О разнице. Туннель с группой из внешних ip wan/dmz локального DFL перестал у меня работать после нескольких выдергиваний кабеля из wan/dmz. Видимо, еще что-то надо настраивать, чтобы заработало.

В туннеле, DPD включить, keep alive выключить.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc