Здравствуйте!
Есть сервер-шлюз на Ubuntu с установленным Strongswan. Strongswan настроен и работает если подключатся с клиентов Windows, Android – проблем нет. Но появилась задача объединить два офиса - во втором офисе роль шлюза выполняет Mikrotik, с ним и возникли проблемы в настройке.
Mikrotik авторизуется на сервере (strongswan), подтягиваются политики, Strongswan говорит, что соединение установлено, но пакеты не ходят ни с одной стороны ни с другой.
Linux шлюз:
Внутренняя сеть: 192.168.10.0/24
Адрес шлюза: 192.168.10.1
Внешний адрес: x.x.x.x
Mikrotik:
Внутренняя сеть:
192.168.88.0/24
Адрес шлюза: 192.168.88.1
Внешний адрес: динамический (y.y.y.y)
Конфиг Strongswan
# basic configuration
config setup
# strictcrlpolicy=yes
# uniqueids = no
conn %default
dpdaction=clear
dpddelay=35s
dpdtimeout=300s
fragmentation=yes
rekey=no
ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes182-sha1-modp2048,aes128-sha1-modp1024,aes128-sha1,3des-sha1!
left=%any
leftauth=pubkey
leftcert=server.crt
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightauth=pubkey
rightsourceip=192.168.3.0/24
rightdns=8.8.8.8
conn ikev2-pubkey
keyexchange=ikev2
auto=add
Firewall:
-A POSTROUTING -m policy --dir out --pol ipsec -j MASQUERADE
-A POSTROUTING -o ppp0 -j SNAT --to-source x.x.x.x
В фильтре - все разрешено
Конфиг Mikrotik
Peer:
address=x.x.x.x/32 auth-method=rsa-signature certificate=client.crt generate-policy=port-strict policy-template-group=default exchange-mode=ike2 mode-config=request-only send-initial-contact=yes hash-algorithm=sha1 enc-algorithm=aes-256,camellia-256,aes-192,camellia-192,aes-128,camellia-128,3des,blowfish,des dh-group= modp4096, modp2048, modp1024,modp768 dpd-interval=2m
Policy:
DA src-address=192.168.3.1/32 src-port=any dst-address=0.0.0.0/0 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=y.y.y.y sa-dst-address=x.x.x.x proposal=default ph2-count=1
Firewall:
0 chain=srcnat action=masquerade out-interface=pppoe-out1 log=no log-prefix=""
Правила фильтра – все разрешено, и политика по умолчанию – все разрешено
Помогите, пожалуйста, разобраться.