Дебиан, в качестве впн-сервера. Strongswan. Фиксированный белый адрес.
ipsec.conf
config setup
uniqueids=no
conn ikev2-vpn-mikrotik
auto=add
authby = ecdsasig
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
dpdaction=clear
dpddelay=120s
rekey=no
left=%any
leftid2=%bla_address
leftcert=server-cert.pem
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightsourceip=10.10.10.0/24
rightsendcert=never
ipsec.secrets
: RSA "server-key.pem"
Микрот, в качестве клиента. Серый динамический адрес, за натом провайдера.
ip ipsec export
/ip ipsec mode-config
add name=ike2-rw responder=no
/ip ipsec policy group
add name=ike2-rw
/ip ipsec profile
set [ find default=yes ] dh-group=modp4096,modp2048,modp1024
add name=ike2-rw
/ip ipsec peer
add address=SERVER_ADDRESS/32 exchange-mode=ike2 name=ike2-rw-client profile=ike2-rw
/ip ipsec proposal
add name=ike2-rw pfs-group=none
/ip ipsec identity
add auth-method=digital-signature certificate=server-cert.pem_0 generate-policy=port-strict mode-config=ike2-rw peer=ike2-rw-client \
policy-template-group=ike2-rw
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ike2-rw proposal=ike2-rw src-address=0.0.0.0/0 template=yes
Впн между ними поднимается. Микротику присваивается айпиадрес 10.10.10.1 на ether1 (wan).
Небольшое отступление: В принципе, для андроида тоже сделал настройку в ipsec.conf через EAP. Все работает, весь трафик с телефона уходит через через ВПН.
Делаю точно такие же настройки на втором микротике (те же серт, ключ и ca). Он получает тот же айпиадрес 10.10.10.1. Оба микротика поочередно начинают "выбивать" друг друга с сервера.
И второй вопрос по этой схеме: как теперь связать локальные подсети за микротиками без прибегания к ppp? Учитывая, что "Маршрутизация при использовании IPsec "в чистом виде" не может быть использована, т. к. IPsec не создает виртуальный интерфейс, которому может быть назначен IP-адрес и добавлена запись в таблицу маршрутизации" (с).