Задача типовая:
Есть DFL (2.40.01.08), подключен к двум провайдерам через wan и dmz, один интерфейс рабочий, другой - резервный. Выбор рабочего управляется метриками.
PBR настроен (пинги на оба интерфейса идут нормально), на других DFL при такой же настройке работают и внутренние сервера с обоих интерфейсов. Так что это, полагаю, правильно.
Сделал для обоих выходов пары L2TP/IPSEC.
Работает один - на основном. Переключаю интерфейсы - работает на том, который стал основным.

Похоже, надо где-то добавить PBR маршрутизацию. Пробовал и так, и эдак... не выходит. На форуме рылся, ответов не нашел. По крайней мере, для моей прошивки. С 2.60 тоже не получалось.

Понял, что я не понимаю, как ходят пакеты при L2TP/IPSEC. Особенно хотелось бы понять взаимодействие интерфейсов L2TP и IPSEC. Между ними тоже пакеты ходят по правилам маршрутизации или они жестко связаны?

Кто знает, поясните, пожалуйста.

Конечно, работающий рецепт такой настройки тоже порадует.

Обнаружил, что при попытке подключения по резервному интерфейсу не устанавливается IPSEC подключение. То есть, IKE SA есть, IPSEC SA нет.
Так что, возможно, дело и не во взаимодействии L2TP и IPSEC.

Есть ли проблема установления IPSEC подключения по резервному подключению?

На DFL IKE SA есть, но на клиенте ничего такого нет. Анализ показывает, что при попытке установить VPN по резервному каналу, сразу ответы на ISAKMP отправляются с основного. С соответствующим адресом отправителя.
Правила, согласно которым с интерфейсов IPSEC пакеты должны уходить в соответствующий канал, не помогают.