VRRP и переключение на резервного интернет-провайдера?

Всё, кажется, в порядке! Удачи =)

Отвечу, хотя я явно не @ConnyMercier. Stateful firewall отслеживает состояние соединений по нескольким причинам — чтобы большинство пакетов проходили через минимальный набор правил фаервола, чтобы обеспечить NAT и так далее. Если синхронизация состояния соединений не была активирована в настройках VRRP (а это возможно только в RouterOS 7), то модуль отслеживания соединений на фаерволе в маршрутизаторе, через который изначально было установлено соединение, — единственный, кто знает об этом соединении. Поэтому, если трафик начнёт идти через другой роутер, пакеты на нём не будут распознаны как часть существующего соединения.

В случае UDP, где в заголовках протокола нет информации о состоянии соединения, пакет, не принадлежащий ни одному существующему соединению, воспринимается как начальный пакет нового соединения и обрабатывается соответственно. В случае TCP, заголовки TCP содержат информацию, позволяющую определить роль пакета в соединении. Только пакет с флагом SYN и без флага ACK может создать новое отслеживаемое соединение в фаерволе (по крайней мере, если включена строгая проверка заголовков TCP). Другие TCP-пакеты, не относящиеся к существующим соединениям, маркируются как connection-state invalid. Таким образом, отключая это правило, вы даёте возможность существующим TCP-сессиям пережить переключение VRRP, но одновременно открываете дорогу некоторым TCP-атакам (предполагаю, что то же самое относится к SCTP, хотя он довольно редко используется в интернете).

Так что первый вопрос — используете ли вы RouterOS 7 на обоих физических маршрутизаторах и, если да, активирована ли синхронизация отслеживания соединений с активного на резервный.