Здравствуйте!
Был настрен туннель ipsec strongswan (сервер) <-> Mikrotik (клиент). Все работало отлично, пока не обновил прошивку на микротике с 6.40.5 до 6.44.6 - перестала работать сеть на стороне микротика, верней выход в интернет. При этом туннель поднимается и работает, но внешние адреса не пингуются (порой выборочно пингуются). Видно, что пакет из локалки приходит на микротик, отправляется на WAN интерфейс и возвращается обратно на микротик, и все, на бридж он уже не попадает.
Фаервол пуст, только НАТ маскарадинг.
В чем может быть проблема? В какую сторону копать?
Linux шлюз:
Внутренняя сеть: 192.168.10.0/24
Адрес шлюза: 192.168.10.1
Внешний адрес: x.x.x.x
Mikrotik:
Внутренняя сеть:
192.168.88.0/24
Адрес шлюза: 192.168.88.1
Внешний адрес: динамический (y.y.y.y)
Конфиг Strongswandpdaction=clear
dpddelay=35s
dpdtimeout=300s
fragmentation=yes
rekey=no
ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes182-sha1-modp2048,aes128-sha1-modp1024,aes128-sha1,3des-sha1!
left=%any
leftauth=pubkey
leftcert=server.crt
leftsendcert=always
leftsubnet=192.168.10.0/24
right=%any
rightauth=pubkey
rightcert=client.crt
rightsendcert=yes
rightsourceip=192.168.88.200/32
rightsubnet=192.168.88.0/24
rightdns=8.8.8.8
keyexchange=ikev2
auto=add
Конфиг Микротикpolicy
src-address=192.168.88.0/24 src-port=any dst-address=192.168.10.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=0.0.0.0 sa-dst-address=x.x.x.x proposal=default ph2-count=0
peers
name="peer1" address=x.x.x.x/32 profile=default exchange-mode=ike2 send-initial-contact=yes
identity
peer=peer1 auth-method=rsa-signature mode-config=request-only certificate=client.crt_0 generate-policy=port-override
firewall nat
chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix=""