Policies ipsec invalid, почему?

Question

[MrDZ]

Привет имеется: mikrotik ccr 1036, 6.48.6
условно:
1.1.1.1 - внешний ip центрального офиса
2.2.2.2 - внешний ip удаленного офиса.
/30 маска для туннельных адресов.
Настраиваю gre+ipsec. Добавил более 200 штук, заметил что часть политик (на стороне центрального микротика) статус - недействительный (invalid).

interface gre add allow-fast-path=no !keepalive local-address=1.1.1.1 name=gre-tunnel-16 remote-address=2.2.2.2

ip address add address=172.31.20.237/30 interface=gre-tunnel-16 network=172.31.20.236

ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-128-cbc lifetime=12h name=gre-roznica pfs-group=modp2048

ip ipsec profile add dh-group=modp2048 dpd-interval=5s dpd-maximum-failures=4 enc-algorithm=aes-128 hash-algorithm=sha256 name=gre-roznica

ip ipsec peer add address=2.2.2.2/32 exchange-mode=ike2 name=tunnel-16 profile=gre-roznica

ip ipsec identity add peer=tunnel-16 secret=passssssssss

ip ipsec policy add dst-address=2.2.2.2/32 peer=tunnel-16 proposal=gre-roznica protocol=gre src-address=1.1.1.1/32

Настройки на стороне клиента такая же, только ip зеркальные.

Comments

[Модератор]

Не надо ставить как можно больше тэгов. Лучше оставить один, но конкретный, с которым проблема.
См.п.3.1 Регламента. Также обратите внимание на п.3.6

[CityCat4]

а что, gre использует политики?

[MrDZ]

CityCat4, сам gre нет

[CityCat4]

MrDZ, Зачем тогда их настраивать?