в момент переключения появляются (они ктсати появляются когда обрыв связи происходит, прежде чем пропасть, сначала шифрование становится ункноун, потом заместо шлюза удаленная сеть)

сначала двоятся (присутствуют два туннеля на разные интерфейсы дфл-210), но через минуту остается один, один интерфес жишь на дфл-210 вырубается

Попробовал, конфигурации "треугольником" работает. Действительно, заковырка была в том, чтобы извне был доступен только один WAN.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

недопойму чего-то этого момента, я для пинга открыл дмз (альт. таблицу правда нарисовал и правило на пинг), пингует вроде

Вы правило PBR делали для all_icmp или all_services?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

сделал такое-же правило, какое мастер делает на ван для пинга (только для дмз), таблицу сделал с маршрутом на дмз, роутинг руле на пинг_аут, на дмз
завтра уже уточню точнее

я так понимаю, что данная схема накладывает ограничения на использование дмз, и я не могу понять какие точно, скажите в каком разе не будет работать

Ограничений нет, вопрос в том как это будет работать. Покажите вашу альтернативную таблицу и правило PBR...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

я не прав
попутал опять 210 и 800, на 210 у меня ничего на dmz не настроено
но я позже попробую

так получается, ежели окромя нас так никто не делал, то надо отфаковать тему, и вообще в факе нерабочий вариант, его поправить надо
ТП ау...

В FAQ описан частный вариант. Я в начале темы тоже описывал частный (похожий) вариант. У вас другой частный вариант. Не все будет работать в любой ситуации.

А вот то, что на DMZ у вас не настроена обработка входящих, и помогло вам.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Уважаемый danilovav помогите пожалуйста реализовать треугольную схему. У нас с одной стороны DFL-800 c двумя WAN (белые стат IP), с другой DFL-210 с одним WAN (белый стат IP). На данный момент по мануалу "Настройка режима failover для ipsec.pdf" настроена DFL-800 c той разницей что туннель 1, с другой стороны по аналогии, только без всего того, что в мануале описано для работы с 2 ван портами. Пробовал по вашей рекомендации в ремоут ендпойнт айписека ставить группу из ванов 800-й ДФЛи, но так туннель не поднимается. В чем может быть дело?

sharkmax, ничего что вы подняли тему 5-летней давности?
Дунканы Маклауды только в сериалах.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Предлагаете создать новую тему?

Предполагаю, что уважаемый danilovav Вам ответить не сможет, поскольку весьма занят на работе и чрезвычайно редко в последнее время появляется на Форуме.
И, да, стоит создать новый топик по Вашему вопросу.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

гробокопатели:)

так никто не поможет
эта тема и так изначально тяжело читаема
заводите новую, со схемкой и правилами
там все просто, но почему-то те кто делает такое в первый раз, часто буксуют
картинку и расклад нарисуешь и сразу все понятно

для полезности темы:
объединение в группы адресов для назначения этих групп в качестве конечных точек туннелей возможно только на DFL
на DSR так нельзя