Есть два DFL в разных местах города.
Каждый из DFL имеет по два интернет провайдера с автоматическим переключением между каналами в случае отказа.
Надо построить VPN канал, который сохранялся бы пока хоть один из провайдеров на каждом DFL жив.
То есть должна выполняться таблица

Была мысль и практическая реализация схемы, когда на каждом было по два VPN сервера и по два VPN клиента.
Соответственно, каждый клиент подключался к своему VPN серверу на разных wan интерфейсах.
То есть получалось, что каждый DFL тянул по два клиентских щупальца к внешним wan интерфейсам своего удаленного коллеги.
Итого получалось 2 щупальца от первого ко второму и 2 щупальца от второго к первому.

Теоретически, покрывает не все случаи, но все единичные. Когда из 4х провов, погибает хотя бы один.

Беда заключается в том, что эта конструкция не работает.
То есть после перезапуска DFL'ей она работает, 4 VPN канала - всё в ажуре, пинги ходят.
Но с какого-то момента, по индикаторам 4 канала в статусе connected, а пинги не ходят.
Маршруты есть. Интерфейсы подняты, правила само-собой всё во всё (дошёл уже и до такого, так было аккуратненько для каждого вектора), а пинги не ходят.

И ситуацию спасает только перезапуск какого-нибудь DFL'я.

Вот я и думаю, есть какое нибудь более удачное решение для такой конфигурации.
Не я ведь первый прусь этой дорогой.

Ищите по форому была тема с мануалом . Даже крайний раз я постил ее. Ссылку не дам тк лениво искать поиском .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Думаю, имелось ввиду это

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

О!
C первой страницы - моя задача !
Спасибо огромное.

Похоже, моя проблема была в этом "Собственно основная идея решения состоит в том, что правилами маршрутизации не позволяем поднимать больше одного туннеля.", хотя было бы интересно узнать как автор до этого додумался.

всем форумом тогда гадали

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ребята, огромное вам спасибо.
Это бы в официальный FAQ положить.

p.s.
А линк не скините на то обсуждение ?

в п. 4, там где настраиваются туннели, в частности Remote-ip1 и Remote-ip2 для ipsec каналов
можно не создавать два ipsec канала на кождом DFL, а сделать по одному, но в качестве Remote end point указать группу ip адресов (Remote-ip-gr = Remote-ip1, Remote-ip2)
и если ваны сконфигурированы в простой мониторинг, и из вне единовременно доступен один из них, то больше ничего не надо (запрещающие правила на маршруты не нужны)