отказоустойчивый L2TP/IPSec

[Aloem]

Здравствуйте, коллеги!

Нужен совет по организации отказоустойчивого L2TP/IPSec.
Есть центральный офис в котором стоит 2 MikroTik (COF_1 и COF_2) и филиал в котором установлены (МКТ_1 и МКТ_2). Между ними настроены VPN соединения L2TP/IPSec каждый с каждым. COF_1 и COF_2 используют VRRP для отказоустойчивости, также на стороне филиала МКТ_1 и MKT_2 используют VRRP. В филиале и центральном офисе заведено по 2 провайдера (по одному на каждый микротик), при исчезновении интернета на одном из устройств MikroTik в филиале есть запасной маршрут 0.0.0.0/0 с большим весом, который идет через соседа (для МКТ_1 через МКТ_2 и наоборот).
Остался один вопрос, подскажите из опыта, как лучше бороться с ситуацией, когда падает один из интернет-каналов в филиале и через одного провайдера устройства MikroTik пытаются поднять 2 vpn канала одновременно к каждому COF (COF_1 и COF_2)?

question.png

[Chupaka]

Приветствую. Просто заблокируйте в фильтре файрвола (chain=forward) на MKT_1,2 трафик от другого роутера в Интернет