Добрый день! Не работает переключение схожих политик для ipsec. Микторик подключен двумя каналами к разным провайдерам и через каждый канал установлен ipsec туннел со вторым офисом (где также два резервных канала, но приходят на два разных микротика). При падении одного канала трафик не идёт по резервному туннелю из-за пометки inective во второй policy (конфиг ниже). Как можно насторить автоматическую активацию/деактивацию политик или должны отрабатывать как-то priority в policy? ;;; via ipsec tunnel 1 src-address=192.168.32.0/24 src-port=any dst-address=10.1.5.2/32 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=x.x.x.146 sa-dst-address=x.x.x.196 proposal=proposal1 priority=0 21 I ;;; via ipsec tunnel 2 src-address=192.168.32.0/24 src-port=any dst-address=10.1.5.2/32 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=x.x.x.170 sa-dst-address=x.x.x.207 proposal=proposal1 priority=1 Спасибо!
С двух сторон одинаковый конфиг. Пример с центрального роутера, где должно отрабатывать преключение (сейчас всё работает через netwatch): 1 ;;; to Site 1 address=1.1.1.1/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="siemens" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=no nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128 dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 2 ;;; to Site 2 address=2.2.2.2/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="siemens" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=no nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128 dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5