Имеется железка DFL-260E с прошивкой 10.21.02.01-25332 Oct 17 2014. До появления проблемы была версия 2.40.04.08.
На железке настроен vpn pptp-сервер с авторизацией по радиусу. Всё работало замечательно и стабильно. Но после того как я подключил второй канал интернета и настроил failover, VPN стал работать очень странно - канал поднимается, но доступны почему-то не все машины в локальной сети за файрволлом.
До нескольким машин пинги доходят, до нескольких нет. Причем иногда 1-2 пакета пробивается. Такое впечатление, что проблема в маршрутизации. В логах файрволла я не вижу ни одной записи по поводу пингов из pptp-канала, хотя повключал помоему полное логирование всего.
Проблема наблюдается и при поднятии vpn на основном канале и такая же проблема с резервным.
Перелопатил кучу мануалов, но нигде не описано как настроить pptp при наличии failover. Делал и так, и сяк, и заново настраивал pptp-сервер вместе со всеми правилами, и никак.. проблема не решается.
Может кто-нибудь сможет рассказать как правильно всё это сделать или хотя бы направить на правильный мануал..
Идеальным вариантом хочется видеть поднятие vpn на любом канале, но как минимум нужна работа хотя бы на одном.

Настройки такие:

Интерфейсы:
lan
wan1 (основной канал интернет, статика)
wan2 (резервный канал, статика)
pptp_wan1 (интерфейс pptp-сервера висящего на wan1)
WANs_interfaces (группа интерфейсов wan1+wan2)

пул адресов выдаваемый файрволом vpn клиентам 192.168.10.150-192.168.10.179

Перечислю названия "переменных" из адресной книги файрволла:
lannet (192.168.10.0/24)
lan_ip (192.168.10.254)

wan1_ip
wan1net
wan1_gw

wan2_ip
wan2net
wan2_gw

wans_ip (группа wan1_ip+wan2_ip)

Так проблема появилась после смены прошивки или после подключения второго канала и настройки failover?

Кстати начиная то ли с висты то ли с семерки windows firewall по-умолчанию не отвечает на пинги из "чужих" сетей.... тут глянул на циферки - pptp пул пересекается с lan - выдавать pptp клиентам адреса из диапазона адресов другого (lan) интерфейса - черевато кучами граблей...




p.s. если что уже есть 10.22 прошивка, выпущенная можно сказать вслед за 10.21, что наводит на мысли что наверное в 10.21 не все гладко

Проблема появилась после подключения второго канала и настройки failover и до смены прошивки. Собственно прошивку начал искать потому как перестал VPN нормально работать.
По поводу прошивки 10.22 интересно. Недавно что ли вышла? Она мне не попалась на глаза. Надо попробовать.
Тему с пулом я тоже обдумывал, но ведь ранее-то всё работало... Мне кажется, что проблема всё таки в маршрутизации.

явно .... надо смотреть куда отлетают пакеты по таблицам ...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Сейчас попробовал поменял vpn-пул на 192.168.12.150-192.168.12.179 (Внутренний ip адрес vpn-сервера соответственно остался lan_ip ).
После поднятия канала, на клиенте добавил маршрут (route add 192.168.10.0 mask 255.255.255.0 192.168.12.150)
И при таком раскладе канал выглядит более стабильно - все машины пингуются, сетка работает.
Но тут возникает вопрос - как сделать так, что бы на клиенте не надо было маршрут добавлять? Мыслю, что надо ip-адрес сервера поменять, предположим на 192.168.12.254. Но тогда надо вручную маршрут на файрволе прописывать. Какой должен быть маршрут, или два, учитывая failover?
Или моя мысль неправильна?