Резервирование VPN

[b1gst0ne]

Есть машинка с керио с основным и резервным провайдером с белыми ip и поднятым впн на основном провайдере к которому подсоединяются около 10 клиентов, редко но бывает, что у основного провайдера пропадает интернет и проходится переключать клиентов на резервный канал в ручную. Клиенты могут быть другие микротики или виндовс.

Есть идея заменить керио на микротик с поднятыми двумя впн на основном и резервном канале и в случае проблем с основным провайдером чтобы клиенты автоматически переключались на резервный впн. Виндовс не умеет переключаться поэтому для таких клиентов я решил оставить только основной канал впн, эти клиенты не критичны.
Взял RB2011iL-IN, для тестов настроил dual-wan с резервированием по пингу до 8.8.4.4 и изменением дистанции в routes без маркировки пакетов. Настроил l2tp-ipsec на резервном канале, воткнул в микротик резервный интернет (по понятным причинам) вроде работает и тут я уткнулся в тупик... информации крайне мало по таким решениям(если ткнёте в мануал буду благодарен).
Куда дальше посоветуете двигаться или возможно подскажите варианты реализации?

[Chupaka]

А при пропадании основного канала к Керио нельзя подключиться через резервный?

И я бы ещё изучил вариант оставить в DNS две A-записи для адреса VPN с обоими IP-адресами. Есть подозрение, что Шindoшc-клиенты могут переподключиться (возможно, не совсем автоматически) на второй адрес при отваливании первого.

[b1gst0ne]

А при пропадании основного канала к Керио нельзя подключиться через резервный?

Было не плохо, т.к. керио при создании vpn раздаёт его сразу на все wan, но к керио конектятся софтовым клиентом из под винды и он не умеет соединятся на несколько адресов. Поэтому и приходится в ручную переключать клиентов.

И я бы ещё изучил вариант оставить в DNS две A-записи для адреса VPN с обоими IP-адресами. Есть подозрение, что Шindoшc-клиенты могут переподключиться (возможно, не совсем автоматически) на второй адрес при отваливании первого.

На сколько я понимаю, тогда трафик будет идти в произвольном порядке через оба канала, но трафик на резервном не безлимитный.

[Chupaka]

А, то есть к Керио при нормально работающих обоих каналах можно подключиться через любой? В любом случае, я не вижу смысла менять Керио на что-то, вам просто надо клиентские микротики настроить.

А если сделать DNS-имя, а не к IP-адресу подключаться, то всегда можно сменить IP у него - и виндовые клиенты сами на новый адрес подключаться, без перенастройки.

[b1gst0ne]

А, то есть к Керио при нормально работающих обоих каналах можно подключиться через любой? В любом случае, я не вижу смысла менять Керио на что-то, вам просто надо клиентские микротики настроить.

А если сделать DNS-имя, а не к IP-адресу подключаться, то всегда можно сменить IP у него - и виндовые клиенты сами на новый адрес подключаться, без перенастройки.

Если я правильно понимаю DNS RR будет балансировать обращение к имени, но мне нужно резервирование, т.к. второй канал не безлимитный.

[Chupaka]

Вы уверены, что отвечаете на весь процитированный текст, а не только на второй абзац?

Но даже и в нём нет больше упоминания RR: тут я имел в виду единственную запись с одним IP. Достаточно в момент аварии сменить IP в DNS - и клиенты смогут подключиться с теми же настройками.

[b1gst0ne]

Вероятно я не правильно вас понял...

Начнём с начала

Достаточно в момент аварии сменить IP в DNS - и клиенты смогут подключиться с теми же настройками.

Клиентов из подключения по ip нужно перевести на подключение по доменному имени? В момент аварии нужно менять ip в dns у провайдера домена? Смену нужно производить вручную?

[Chupaka]

Да, именно так. И это про Windows-клиентов. А на микротиках можно настроить сразу два клиента на оба IP-адреса Керио и задать им разный Distance для маршрутов, чтобы второй использовался только при пропадании первого.