Как настроить IPsec тунель Mikrotik -- Strongswan?

Все, заработало! На линуксе в фаерволе исходящий трафик по протоколу ESP нужно было разрешить (проглядел).
Ключевым моментом в поднятии тоннеля было:

при обьединении офисов обычно используют соединение "сеть-сеть"

По большому счету, на линуксе добавил "rightsubnet" в конфиг свана, а на микротике прописал в ручную политику. И, конечно, настройка фаервола.
По поводу документации strongswan - есть ли рускоязычная?
Огромное спасибо за помощь!
И еще вопрос. Возможно ли реализовать следующее: между микротиком и линуксом тоннель "сеть-сеть", а мобильные клиенты к линуксу "хост-хост" + выход в интернет через линукс?

Как настроить IPsec тунель Mikrotik -- Strongswan?

CityCat4, извиняюсь, не ту команду написал. Вводил без указания sa-src-address, т.к. на микротике внешний адрес динамический. ip ipsec policy print показывает, что sa-src-address=0.0.0.0
Пинг начинает проходить в сеть 192.168.88.0.24 только после подключения какой-нибудь рабочей станции в этой сети, например, TeamViewer'ом.

Как настроить IPsec тунель Mikrotik -- Strongswan?

В общем, на данный момент сделал следующее:
1. На линуксе, в конфиг IPsec добавил "rightsubnet=192.168.88.0/24"

iptables -t nat -I POSTROUTING -ppp0 -d 192.168.88.0/24 -j ACCEPT

2. На микротике

/ip ipsec policy add dst-address=192.168.10.0/24 level=unique proposal=proposal1 sa-dst-address=x.x.x.x sa-src-address=0.0.0.0 src-address=192.168.88.0/24 tunnel=yes
/ip firewall nat
add chain=srcnat ipsec-policy=out,ipsec out-interface=pppout

Что получилось: из сети 192.168.88.0/24 в сеть 192.168.10.0/24 пинги идут tcpdump на линухе говорит, что пакеты бегают (и шифруются), но если пинговать в обратную сторону, то пинг не проходит, судя по трасировке маршрута трафик из сети 192.168.10.0/24 в сеть 192.168.88.0/24 не заворачивается в тоннель.

Как настроить IPsec тунель Mikrotik -- Strongswan?

CityCat4, Спасибо за ответ! Настройкой теперь уже в понедельник буду заниматься, но продвижения уже есть!

Как настроить IPsec тунель Mikrotik -- Strongswan?

IPsec используется без L2TP. Рабочие станции и мобильные клиенты подключаются и работают.

Потом - зачем натить пакеты, уходящие в ipsec, на стороне убунту?

Если Вы про это правило "-A POSTROUTING -m policy --dir out --pol ipsec -j MASQUERADE", то добавлено было в виде эксперимента.

Выход в Интернет из сети микротика планируется тоже через убунту?

Выход в интерент планируется не через Убунту, но на данный момент без разницы, главное, чтобы заработало.

И наконец, если IP микротика динамический, нельзя его задавать в конфиге статически, а задавать нужно интерфейсом.

Можно поподробнее, в каком именно конфиге? Если речь о политиках, то они создаются автоматически при подключении к серверу.

Как настроить IPsec тунель Mikrotik -- Strongswan?

Версия прошивки - 6.40.5, IKEv2 точно поддерживается.
Политика создается автоматически при поднятии тоннеля, причем, если создать политику вручную, то она не работает (в статусе пишет что-то связанное с фазой 2, сейчас нет возможности посмотреть). dst-address 0.0.0.0/0 в данный момент экспериментально, при указании локальной (например, 192.168.10.0/24) тоннель не работает (соединение есть, пакеты не ходят). srt-address один т.к. берет его из конфига Strongswan ("rightsourceip=", если я правильно понимаю). Нужно указать "rightsubnet=192.168.3.0/24"?

Explorer.exe интерфейс не поддерживается?

Ссылка не открывается, но данный фикс пробовал - безрезультатно

Как освободить место в /boot разделе?

Zhandos M: Старее используемого в данный момент ядра, т.е. оставлял текущее и предыдущее ядро, остальные удалял, далее apt-get -f install

Как освободить место в /boot разделе?

Евгений: Была точно такая же ситуация, в ручную удалял старые ядра и запускал команду - все прошло успешно.

Антивирус не обновляется из-за ограничения загрузки exe-файлов прокси сервером?

Печально. В ручную не вариант, а WSUS нет возможности поставить.