Доброго всем дня!
Помогите, пожалуйста, побороть ошибку "L2TP connection rejected no IPsec encryption while it was required".
Схемка такая: есть CHR, есть haP AC, есть hAP AC lite.
На CHR и haP AC подняты l2tp-сервера. К CHR коннектятся оба hAP-a, к hAP AC коннектится hAP AC lite. На hAP AC динамический адрес, поэтому на hAP AC lite есть скриптик, который резолвит текущий адрес по микротик-дднс и подставляет его в адрес интерфейса (не уверен, что это имеет значение, но на всякий случай уточню).
CHR находится за рубежом для того, чтобы не заходить на те сайты, на которые россиянам запрещено заходить. Имеет статику. На обоих hAP-ах Ростелеком, динамика.
Все микротики настроены единообразно, вплоть до того, что конфиг с одного основного экспортировал и копировал построчно в остальные (не весь, разумеется, а только нужное - интерфейс-листы, правила файрфолла, и так далее). Требования ipsec настроены на всех клиентах и серверах.
Периодически, примерно раз в двое суток (от 36 до 60 часов) у hAP AC lite отваливаются коннекты и к CHR, и к hAP AC. В логах только фраза о том, что туннель незашифрован, поэтому не буду я никуда коннектиться. Помогает перезагрузка hAP AC lite. Какого-то криминала в IP - ipsec не замечено, один раз только были две невалидные динамические полиси. Попробовал их удалить и переподключиться - не помогает, думаю, дело не в них, и они бы сами по тайматуру когда-нибудь отвалились. При этом ни на CHR, ни на haP AC не делается вообще никаких изменений конфига, более того, они даже не перезагружаются (у hAP AC, конечно, рвется pppoe-сессия, у CHR, поскольку статика, не меняется вообще ничего).
Конечно, я могу перезагружать роутер скриптом каждые сутки, но это ж не решение проблемы. Что делать-то?
И, если уж на то пошло, насколько плохо его скриптом перезагружать каждые сутки, если проблему не решу?
Что из конфигов показывать - пока не знаю, поэтому, чтобы не загружать людям головы, покажу нужное по запросу.
