Есть 2 сети.
Сеть Х с внутренней сетью 192.168.1.0 в качестве маршрутизатора стоит zywall usg 50
Сеть Y c внутренней сетью 192.168.0.0 в качестве маршрутизатора стоит древняя isa.
Между ними поднят ipsec site-to site тоннель и все работает.
Вместо исы ставлю микротик 2011. Тоннель настроил, из сети Y я вижу компы внутри сети Х. Пинги ходят, рдп подключается и т.п. А вот в обратную строну - нет. Максимум что работает, это пинг до самого микротика. В сеть за микротиком никак. Настраивал по статьям из интернета.
Подскажите в какую сторону копать? что не так? сейчас вернул ису обратно - снова все работает.
Конфиг микротика прилагаю.
Код: Выделить всё
# sep/14/2020 16:09:11 by RouterOS 6.47.3
#
# model = RB2011iL
/interface bridge
add arp=proxy-arp name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=ether3 ] arp=proxy-arp
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec peer
add address=ххх.ххх.ххх.ххх/32 name=zywall
/ip ipsec profile
set [ find default=yes ] dpd-interval=3s nat-traversal=no
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
aes-256-cbc,aes-192-cbc,aes-128-cbc,3des
add enc-algorithms=3des name=zyxel pfs-group=none
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether8
add bridge=bridge-local interface=ether9
add bridge=bridge-local interface=ether10
/ip address
add address=yyy.yyy.yyy.yyy/28 interface=ether1 network=yyy.yyy.yyy.yyy
add address=192.168.0.244/24 interface=bridge-local network=192.168.0.0
/ip dns
set allow-remote-requests=yes servers=ccc
/ip firewall address-list
add address=xxx.xxx.xxx.xxx list=acc-input
add address=192.168.1.0/24 list=anti-nat
/ip firewall filter
add action=accept chain=forward disabled=yes dst-address=192.168.0.0/24 \
src-address=192.168.1.0/24
add action=accept chain=input log-prefix=zyxel_input src-address-list=\
acc-input
add action=accept chain=input log=yes log-prefix=m_ping_z protocol=icmp
add action=accept chain=input connection-state=established in-interface=\
ether1 log-prefix=z_input
add action=accept chain=input connection-state=related in-interface=ether1
add action=drop chain=input in-interface=ether1 log-prefix=dropped_z
add action=accept chain=forward ipsec-policy=in,ipsec src-address-list=""
add action=accept chain=forward ipsec-policy=out,ipsec
add action=jump chain=forward in-interface=ether1 jump-target=customer
add action=accept chain=customer connection-state=established
add action=accept chain=customer connection-state=related
add action=drop chain=customer
/ip firewall nat
add action=accept chain=srcnat comment="To Office" dst-address=192.168.1.0/24 \
log-prefix=working_nat out-interface=ether1 src-address=192.168.0.0/24
add action=accept chain=srcnat dst-address-list=!anti-nat
add action=accept chain=dstnat dst-address=192.168.0.0/24 log-prefix=z_x \
src-address=192.168.1.0/24
add action=masquerade chain=srcnat disabled=yes ipsec-policy=out,none
add action=masquerade chain=srcnat log-prefix=masq_src out-interface=ether1
add action=accept chain=srcnat disabled=yes ipsec-policy=out,ipsec \
out-interface=ether1
/ip firewall raw
add action=notrack chain=prerouting dst-address=192.168.1.0/24 log-prefix=\
to_z src-address=192.168.0.0/24
add action=notrack chain=prerouting dst-address=192.168.0.0/24 log-prefix=\
from_z src-address=192.168.1.0/24
/ip ipsec identity
add peer=zywall secret=aaa
/ip ipsec policy
add dst-address=192.168.1.0/24 peer=zywall sa-dst-address=[[xxx.xxx.xxx.xxx \
sa-src-address=yyy.yyy.yyy.yyy src-address=192.168.0.0/24 tunnel=yes
/ip route
add distance=1 gateway=bbb
add disabled=yes distance=1 gateway=xxx.xxx.xxx.xxx pref-src=192.168.0.244
add disabled=yes distance=1 dst-address=192.168.1.0/24 gateway=ether1
/ip upnp interfaces
add interface=ether1 type=external
add interface=ether2 type=internal
add interface=ether3 type=internal
add interface=ether4 type=internal
add interface=ether5 type=internal
add interface=ether6 type=internal
add interface=ether7 type=internal
add interface=ether8 type=internal
add interface=ether9 type=internal
add interface=bridge-local type=internal
/system clock
set time-zone-name=Europe/Moscow