Добрый день, настроил ipsec ike2, по статейке, на клиенте, андроиде, strongSwan. Подключаюсь к серверу с использованием сертификатов, соединение устанавливается, адрес из локалки выдаю. Внутренние ресурсы недоступны. Конфиг сервера: ``` /ip ipsec mode-config add address-pool=pool_vpn_local name=IKEv2 static-dns=10.20.88.250 \ system-dns=no /ip ipsec policy group add name=IKEv2 /ip ipsec profile add name=IKEv2 /ip ipsec peer add exchange-mode=ike2 name=IKEv2 passive=yes profile=IKEv2 /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,3des add name="IKEv2" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=non add name=IKEv2 pfs-group=none /ip ipsec identity add auth-method=digital-signature certificate=Home-Tik-SERVER \ generate-policy=port-strict mode-config=IKEv2 peer=IKEv2 \ policy-template-group=IKEv2 /ip ipsec policy set 0 dst-address=0.0.0.0/0 proposal="sha256 aes-128 cbc" src-address=\ 0.0.0.0/0 add dst-address=0.0.0.0/0 group=IKEv2 proposal=IKEv2 src-address=0.0.0.0/0 \ template=yes ``` Все настройки на клиенте, сертификат, домен. Посмотрите плиз, может увидите очевидную ошибку, три мануала уже пробовал, взлетает только на одном. Покажите свои конфиги, у кого это работает.
Порты udp 500,4500 открыты. Никаких правил не добавлял, 1701, 500 и 4500 открыты для l2tp-ipsec, он работает.
Клиенту даю адрес из той же сети, в которой всё, к чему нужен доступ. На всякий случай создал правило в forward, ни к чему не привело. Сервер не используется как удалённый шлюз. Настроек, отвечающих за это на клиенте не нашёл, т.е. это поведение не изменить. Непонятно тогда, в чём смысл подключения к серверу vpn, если трафик пускается мимо этого сервера. У разрабов спросил, молчат.
Это неправильное решение. Попробуйте на LAN-интерфейсе включить proxy-arp=yes Если не поможет - выдавайте адрес в другой сети.
С этим разобрался. Proxy-arp был включён изначально. Выдал адрес из другой подсети, добавил правило в forward, доступ ко внутренним ресурсам появился. Ещё интересует dns, если указать в static dns, нужный адрес, должны резолвиться имена из локалки? Сейчас не резолвятся.