Russian Users MikroTik | Форум пользователей MikroTik

Добрый день, своих знаний, видимо, не достаточно для настройки, поэтому решил поискать помощи тут.

Есть микротик за NAT (с серым ip), есть сервер strongswan IKEv2 (обязательное условие).
Гугление дает в основном примеры когда микротик responder и без NAT, а все попытки настроить своими силами закончились неудачей (знаний чтобы понять причину по логам не хватило), поэтому хотелось бы от чего то отталкиваться и настраивать по аналогии, поэтому может быть кто-то сможет скинуть ссылку или привести рабочий пример с подобной настройкой.
Чтобы было более понятно уточню что вообще хотелось бы получить - хотелось бы выпускать отдельные Ip адреса (не все) за микротиком через ipsec тунель в интернет (сетям за микротик и за strongswan между собой общаться не обязательно, даже нежелательно).

Все же удалось как то заставить работать на тестовом оборудовании...

Ipsec успешно соединяется, генерируются политики, но ipsec трафика нет, до тех пор пока я не назначаю вручную на интерфейс Mikrotik Virtual IP, который выдает Strongswan (ну и маршрут).

Код: Выделить всё

add address=172.17.2.1 interface=bridge network=172.17.2.1
add distance=1 gateway=bridge pref-src=172.17.2.1

После этого трафик mikrotik начинает ходить в интернет через ipsec.

Подскажите это баг с неназначением ip или я все же что то неправильно настраиваю?
Возможно этот вопрос не попадает в категорию "FAQ (Для начинающих)", но я не стал создавать новую тему, просьба модераторам перенести в нужную ветку если необходимо.

a.b.c.d - внешний адрес Strongswan
172.17.2.0/24 - пул выдачи Vitrual ip

Настройки Mikrotik (NAT не настроен)

Код: Выделить всё

/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1,md5 enc-algorithms="aes-256-cbc,aes-256-c\
    tr,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,a\
    es-128-gcm" name=ipsec pfs-group=none

/ip ipsec peer
add address=a.b.c.d/32 auth-method=rsa-signature certificate=\
    vpnHostCert.der_0 dh-group=modp1024 exchange-mode=ike2 generate-policy=\
    port-strict mode-config=request-only

На всякий случай настройки Strongswan

Код: Выделить всё

cat /etc/strongswan/swanctl/swanctl.conf

connections {
    ikev2-pubkey {
        version = 2
        proposals = default
        rekey_time = 0s
        pools = primary-pool-ipv4
        fragmentation = yes
        dpd_delay = 30s
        local-1 {
            auth = pubkey
            certs = vpnHostCert.der
            id = a.b.c.d
        }
        remote-1 {
            auth = pubkey
        }
        children {
            ikev2-pubkey {
                local_ts = 0.0.0.0/0
                rekey_time = 0s
                dpd_action = clear
                esp_proposals = default
            }
        }
    }
}

pools {
    primary-pool-ipv4 {
        addrs = 172.17.2.0/24
        dns = 8.8.8.8, 8.8.4.4
        split_exclude = 172.16.0.0/12
    }
}

Лог

Код: Выделить всё

удалено

Russian Users MikroTik | Форум пользователей MikroTik

инициатор ipsec ikev2 (не назначается IP)

инициатор ipsec ikev2 (не назначается IP)

Re: инициатор ipsec ikev2