ipsec IKEv2 инициатор (не получает IP)

Тема в разделе "Общий форум", создана пользователем lkct, 2 апр 2018.

  1. lkct

    lkct Новый участник

    Приветствую, с микротиками познакомился только недавно, большого опыта настройки ipsec тоже не имею.

    тестовое оборудование
    # RouterOS 6.41.3
    # model = 951Ui-2nD

    Микротик за NAT (с серым ip), есть сервер strongswan ipsec IKEv2, клиенты с различных ОС без проблем подключаются и работают через этот сервер.
    В итоге хотелось бы выпускать в интернет некоторые ip адреса за микротик через ipsec.

    Ipsec успешно соединяется, генерируются политики, но ipsec трафика нет до тех пор, пока я не назначю вручную на интерфейс микротика Virtual IP, который выдает Strongswan (ну и маршрут с правильным distance).
    Код:
    add address=172.17.2.1 interface=bridge network=172.17.2.1
    add distance=1 gateway=bridge pref-src=172.17.2.1
    
    После этого трафик mikrotik начинает ходить в интернет через ipsec.

    Подскажите это баг с неназначением ip или я все же что-то неправильно настраиваю?
    Вообще интересует любые рабочие примеры микротик (инициатор за NAT) - strongswan (респондер).

    a.b.c.d - внешний адрес Strongswan
    172.17.2.0/24 - пул выдачи Vitrual ip

    /ip ipsec proposal
    add auth-algorithms=sha512,sha256,sha1,md5 enc-algorithms="aes-256-cbc,aes-256-c\
    tr,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,a\
    es-128-gcm" name=ipsec pfs-group=none

    /ip ipsec peer
    add address=a.b.c.d/32 auth-method=rsa-signature certificate=\
    vpnHostCert.der_0 dh-group=modp1024 exchange-mode=ike2 generate-policy=\
    port-strict mode-config=request-only
    cat /etc/strongswan/swanctl/swanctl.conf

    connections {
    ikev2-pubkey {
    version = 2
    proposals = default
    rekey_time = 0s
    pools = primary-pool-ipv4
    fragmentation = yes
    dpd_delay = 30s
    local-1 {
    auth = pubkey
    certs = vpnHostCert.der
    id = a.b.c.d
    }
    remote-1 {
    auth = pubkey
    }
    children {
    ikev2-pubkey {
    local_ts = 0.0.0.0/0
    rekey_time = 0s
    dpd_action = clear
    esp_proposals = default
    }
    }
    }
    }

    pools {
    primary-pool-ipv4 {
    addrs = 172.17.2.0/24
    dns = 1.0.0.1, 1.1.1.1
    split_exclude = 172.16.0.0/12
    }
    }
    Лог подключения во вложениях (удален).
     
    Последнее редактирование: 9 апр 2018