Столкнулся с проблемой
не ходит трафик на поднятом IPsec'e
состояние у Mikrotik'a "Established"
Zyxel usg 500 flex также поднимает впн соединение
а вот трафик не ходит
на одном из ресурсов по mikrotik, а именно русскоязычная "вики", написано следующее - "Состояние established через консоль будет отображаться только после того, как между двумя сетями произойдет попытка соединения. Например будет запущен ping. До тех пор пока соединение не будет установлено будет отображаться статус no-phase2. При этом через графический интерфейс всегда будет отображаться актуальная информация."
пинг из-под сети Mikrotik пишет timeout
Настройка Mikrotik
[netadmin@MikroTik] > ip ipsec policy print detail
Flags: T - template; B - backup; X - disabled, D - dynamic, I - invalid, A - active;
* - default
0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default
template=yes priority=0x10000
1 A peer=Main_Office_bogidil tunnel=yes src-address=10.1.0.0/20 src-port=any
dst-address=10.0.0.0/20 dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp sa-src-address=BO sa-dst-address=HQ
proposal=proposal1 priority=0x20000 ph2-count=1 ph2-state=established
[netadmin@MikroTik] > ip ipsec proposal/print
Flags: X - disabled; * - default
0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc
lifetime=30m pfs-group=modp1024
1 name="proposal1" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m
pfs-group=modp1024
[netadmin@MikroTik] >
[netadmin@MikroTik] > ip firewall/nat print
Flags: X - disabled, I - invalid; D - dynamic
0 ;;; Hairpin NAT to LAN1
chain=srcnat action=src-nat to-addresses=10.1.0.1 src-address=10.1.0.0/20
out-interface=bridge-dhcp log=no log-prefix=""
1 ;;; NAT via EAST
chain=srcnat action=src-nat to-addresses=BO src-address=10.1.0.0/20
out-interface=ether1 log=no log-prefix="" ipsec-policy=out,none
2 I ;;; TTC22000083_2 not ready
chain=srcnat action=src-nat to-addresses=HQ out-interface=TTC22000083_2
log=no log-prefix="" ipsec-policy=out,none
3 chain=srcnat action=accept src-address=10.1.0.0/20 dst-address=10.0.0.0/20
out-interface=ether1 log=yes log-prefix=""
4 ;;; Hairpin NAT to LAN1
chain=srcnat action=src-nat to-addresses=10.1.0.1 src-address=10.1.0.0/20
out-interface=bridge-dhcp
[netadmin@MikroTik] > ip firewall/filter/print
Flags: X - disabled, I - invalid; D - dynamic
0 ;;; Related Established Untracked Allow
chain=input action=accept connection-state=established,related,untracked log=no
log-prefix=""
1 ;;; Related Established Untracked Allow
chain=input action=accept connection-state=established,related,untracked log=no
log-prefix=""
2 ;;; ICMP from ALL
chain=input action=accept protocol=icmp log=no log-prefix=""
3 ;;; ICMP from ALL
chain=input action=accept protocol=icmp log=no log-prefix=""
4 ;;; All other WAN drop
chain=input action=drop in-interface-list=WAN log=no log-prefix=""
5 ;;; Established, Related, Untracked allow
chain=forward action=accept connection-state=established,related,untracked log=no
log-prefix=""
6 chain=input action=accept src-address=10.1.0.0/20 dst-address=10.0.0.0/20 log=yes
log-prefix=""
7 chain=input action=accept src-address=10.0.0.0/20 dst-address=10.1.0.0/20
in-interface=ether1 log=yes log-prefix=""
8 chain=forward action=accept src-address=10.1.0.0/20 dst-address=10.0.0.0/20
out-interface=ether1 log=yes log-prefix=""
9 chain=forward action=accept src-address=10.0.0.0/20 dst-address=10.1.0.0/20
in-interface=ether1 out-interface=bridge-dhcp log=yes log-prefix=""
10 ;;; Invalid group
chain=forward action=drop connection-state=invalid log=yes log-prefix=""
11 ;;; Drop all from WAN not DSNATed
chain=forward action=drop connection-state=new connection-nat-state=!dstnat
in-interface-list=WAN
12 ;;; Reject_Soc_net
chain=forward action=reject reject-with=icmp-network-unreachable
layer7-protocol=soc-net log=no log-prefix=""
Средний
Средний
