Проблема с IPSEC RouterOS 6.47.3

[aleksandr.k.]

Доброго времени суток коллеги!
Прошу Вашей помощи.

Есть два роутера. Настройки выполнены в соответствии с официальной вики. Тунель закрывается отлично, но пинги между сетями не идут. В чем может быть проблема?

 Настройки

=====================================================================ROUTER1==================================================================================


/ip ipsec profile add dh-group=modp2048 enc-algorithm=aes-128 name=ike1-client4

/ip ipsec proposal add enc-algorithms=aes-128-cbc name=ike1-client4 pfs-group=modp2048

/ip ipsec peer add address=**.**.**.**/32 name=ike1-client4 profile=ike1-client4

/ip ipsec identity add peer=ike1-client4 secret=secretkey

/ip ipsec policy add src-address=192.168.1.0/24 src-port=any dst-address=192.168.4.0/24 dst-port=any tunnel=yes action=encrypt proposal=ike1-client4 peer=ike1-client4

/ip firewall nat add chain=srcnat action=accept place-before=0 src-address=192.168.1.0/24 dst-address=192.168.4.0/24

/ip firewall filter
add chain=forward action=accept place-before=1 src-address=192.168.1.0/24 dst-address=192.168.4.0/24 connection-state=established,related
add chain=forward action=accept place-before=1 src-address=192.168.4.0/24 dst-address=192.168.1.0/24 connection-state=established,related

/ip firewall raw
add action=notrack chain=prerouting src-address=192.168.1.0/24 dst-address=192.168.4.0/24
add action=notrack chain=prerouting src-address=192.168.4.0/24 dst-address=192.168.1.0/24


=====================================================================ROUTER2==================================================================================

/ip ipsec profile add dh-group=modp2048 enc-algorithm=aes-128 name=ike1-client1

/ip ipsec proposal add enc-algorithms=aes-128-cbc name=ike1-client1 pfs-group=modp2048

/ip ipsec peer add address=**.**.**.**/32 name=ike1-client1 profile=ike1-client1

/ip ipsec identity add peer=ike1-client1 secret=secretkey

/ip ipsec policy add src-address=192.168.4.0/24 src-port=any dst-address=192.168.1.0/24 dst-port=any tunnel=yes action=encrypt proposal=ike1-client1 peer=ike1-client1

/ip ipsec active-peers print installed-sa print

/ip firewall nat add chain=srcnat action=accept place-before=0 src-address=192.168.4.0/24 dst-address=192.168.1.0/24

/ip firewall filter
add chain=forward action=accept place-before=1 src-address=192.168.1.0/24 dst-address=192.168.4.0/24 connection-state=established,related
add chain=forward action=accept place-before=1 src-address=192.168.4.0/24 dst-address=192.168.1.0/24 connection-state=established,related

/ip firewall raw
add action=notrack chain=prerouting src-address=192.168.1.0/24 dst-address=192.168.4.0/24
add action=notrack chain=prerouting src-address=192.168.4.0/24 dst-address=192.168.1.0/24

[rtfm]

Доброго вечера.
Я извиняюсь спросить про маршрутизацию между сетями. В вашем конфиге о ней ни слова.

[yarvelov]

Доброго вечера.
Я извиняюсь спросить про маршрутизацию между сетями. В вашем конфиге о ней ни слова.

ipsec туннель в туннельном режиме сам пробрасывает.

На первый взгляд похоже на правду, потушите фаервол весь для проверки.
И еще нюанс, вы проверяете обмен с самих тиков до внутренних адресов или с клиентских устройств?
У меня между клиентскими трафик ходит, но с самих тиков не пингуется чужая внутрянка по дефолту.