Почему пакеты не нападают в туннель Миротика?

Question

[vitz84]

Добрый вечер.
Ситуация такая: необходимо объединить две сети при помощи микротиков (site-to-site)
обе коробки сброшены и обновлены по дефолту на последнюю прошивку 6,49,7
на обоих коробках был поднят ipsec и тоннель был поднят https://disk.yandex.ru/i/ZyhDf40o4jkogQ
на фаерволе были созданы след разрешающие правила:
ICMP;
доступ по HTTPS и Winbox;
Established и Related соединения;
IPSEC ESP и AH;
порты UDP/500 и UDP/4500 для IKE.

в нате было тоже создано правило которое стоит первым в списке где я ставлю разрешение между внутренней сеткой офиса и филиала.

А теперь вопрос, если я делаю пинг с микротика на внутренний адрес филиала пинг не проходит, если я использую пинг source то пинг проходит и даже я вижу как по туннелю начинают бегать пакеты

НО почему при обычном пинге у меня не улетают пакеты в туннель?
ткните что мог забыть?

PS настраивал по этой статье https://uni.dtln.ru/help/882

Comments

[nApoBo3]

Нужна схема сети.
Адреса за первым и вторым микротиками, адреса самих микротиков( публичные, можно условные типа 1.1.1.1 ), таблицы маршрутизации.
Вообще на чистом ipsec делать маршрутизацию можно, но данная конфигурация достаточно сложная. Обычно ipSec используют для шифрования другого не шифрованного туннеля которые имеет виртуальный интерфейс, IPIP или GRE.

Answer 1

[CityCat4]

Потому что нет политик (если там чистый IPSec без наворотов). В IPSec нет маршрутизации, она не используется. Вместо нее политики.

Answer 2

[Интернет]

Потому что нет настроек.