После долгих опытов, удалось хоть как-то подружить две железки, путем GRE туннеля поверх IPSec. Однако, если смотреть со стороны PaloAlto, то все фазы проходят успешно, и траффик уходит в туннель. А вот со стороны Mikrotik видно, что корректные SA устанавливаются только со стороны палоальто, и виден трафик в нем, а обратное SA пустое (правильные алгоритмы но траффик не идет).
При этом если инициировать поднятие туннеля со стороны микротика, то видно, что SA одностороннее (от микротика в сторону палоальто) и некорректное (неправильные алгоритмы, пустые) и ответное SA не создается.
То есть такое ощущение, что со стороны микротика не доходят какие-то пакеты.
Перепробовал несколько видов шифрования и аутентификации - результаты такие же.
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=aes-256-cbc,aes-128-cbc,3des lifetime=8h
add auth-algorithms=sha1,null enc-algorithms=null lifetime=8h name=Palto
add enc-algorithms=aes-128-cbc lifetime=1h name=PALTO-RT
/ip ipsec peer
add address=M.M.M.90/32 enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=8h local-address=P.P.P.50 \
secret=****
/ip ipsec policy
add dst-address=172.20.255.5/32 proposal=PALTO-RT sa-dst-address=P.P.P.90 sa-src-address=M.M.M.50 \
src-address=172.20.255.6/32 tunnel=yes
/interface gre
add !keepalive local-address=172.20.255.6 name=gre-Palto remote-address=172.20.255.5
UPD: Нашел косяк в настройках - неправильно указал внешний IP. Теперь пара SA установилась корректно, и виден трафик в обе стороны, но он уходит в туннель и там пропадает. Не вижу вообще пакетов выходящих с туннеля с обоих сторон.
UPD2: Очень странное поведение заметил - если с микротика пинговать ответный адрес gre туннеля, то все пингуется, но в графике интерфейса не видно этих пакетов. Но если пинговать с другим сурс адресом, то эти пакеты видны в поле transmit, по вот реплаев нет вообще. То есть gre интерфейс односторонний.
Сложный
Простой
