Почему перестал работать интернет при поднятом ipsec туннеле?

Question

[nois]

Здравствуйте!
Был настрен туннель ipsec strongswan (сервер) <-> Mikrotik (клиент). Все работало отлично, пока не обновил прошивку на микротике с 6.40.5 до 6.44.6 - перестала работать сеть на стороне микротика, верней выход в интернет. При этом туннель поднимается и работает, но внешние адреса не пингуются (порой выборочно пингуются). Видно, что пакет из локалки приходит на микротик, отправляется на WAN интерфейс и возвращается обратно на микротик, и все, на бридж он уже не попадает.
Фаервол пуст, только НАТ маскарадинг.
В чем может быть проблема? В какую сторону копать?

Linux шлюз:
Внутренняя сеть: 192.168.10.0/24
Адрес шлюза: 192.168.10.1
Внешний адрес: x.x.x.x

Mikrotik:
Внутренняя сеть:
192.168.88.0/24
Адрес шлюза: 192.168.88.1
Внешний адрес: динамический (y.y.y.y)

Конфиг Strongswan

dpdaction=clear
dpddelay=35s
dpdtimeout=300s
fragmentation=yes
rekey=no
ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes182-sha1-modp2048,aes128-sha1-modp1024,aes128-sha1,3des-sha1!
left=%any
leftauth=pubkey
leftcert=server.crt
leftsendcert=always
leftsubnet=192.168.10.0/24
right=%any
rightauth=pubkey
rightcert=client.crt
rightsendcert=yes
rightsourceip=192.168.88.200/32
rightsubnet=192.168.88.0/24
rightdns=8.8.8.8
keyexchange=ikev2
auto=add

Конфиг Микротик

policy
src-address=192.168.88.0/24 src-port=any dst-address=192.168.10.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=0.0.0.0 sa-dst-address=x.x.x.x proposal=default ph2-count=0

peers
name="peer1" address=x.x.x.x/32 profile=default exchange-mode=ike2 send-initial-contact=yes

identity
peer=peer1 auth-method=rsa-signature mode-config=request-only certificate=client.crt_0 generate-policy=port-override

firewall nat
chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix=""

Answer 1

[korsar182]

Попробуйте удалить с конфига strongswan параметры rightsourceip и rightdns.

Comments

[nois]

Без rightsourceip туннель не поднимается, а rightdns не меняет ситуацию

[korsar182]

nois, такого не должно быть, у вас site-to-site конфигурация, а не roadwarrior.
Это из-за параметра mode-config, попробуйте убрать его вместе с rightsourceip и rightdns.

[nois]

korsar182, Все заработало. Добавил еще к маскарадингу ipsec-policy=out,none, иначе пакеты в туннель не заворачивались. Но раньше ведь все работало и с mode-config (до обновления прошивки).
Спасибо большое!

[korsar182]

nois, со времен 6.40.5 поддержку IPsec сильно переделали, а потом еще раз переделали.