Не могу соединить два микротика в ipsec туннель. Настроил так.
Код: Выделить всё
mik1
> ip address print
0 192.168.1.1/24 192.168.2.0 ether2
1 x.x.x.x/30 x.x.x.x ether1
mik2
> ip address print
0 192.168.2.1/24 192.168.1.0 ether2
1 D y.y.y.y/32 y.y.y.y pppoe-wan
mik1
> ip ipsec policy print
1 src-address=192.168.1.0/24 src-port=any dst-address=192.168.2.0/24 dst-port=any
protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes
sa-src-address=x.x.x.x sa-dst-address=y.y.y.y proposal=default priority=0
mik2
> ip ipsec policy print
1 src-address=192.168.2.0/24 src-port=any dst-address=192.168.1.0/24
dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=y.y.y.y
sa-dst-address=x.x.x.x proposal=default priority=0
mik1
> ip ipsec peer print
Flags: X - disabled, D - dynamic
0 address=y.y.y.y/32 local-address=:: passive=no port=500 auth-method=pre-shared-key
secret="test" generate-policy=no policy-template-group=group1 exchange-mode=main
send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1
enc-algorithm=aes-128,3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m
dpd-maximum-failures=5
mik2
> ip ipsec peer print
Flags: X - disabled, D - dynamic
0 address=x.x.x.x/32 local-address=:: passive=no port=500
auth-method=pre-shared-key secret="test" generate-policy=no
policy-template-group=default exchange-mode=main send-initial-contact=yes
nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128,3des
dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5
mik1
> ip firewall nat print
0 chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24 log=no
log-prefix=""
mik2
> ip firewall nat print
0 chain=srcnat action=accept src-address=192.168.2.0/24 dst-address=192.168.1.0/24
log=no log-prefix=""
Proposal одинаков на обоих устройствах. Удаленные пиры появляются.
С mik1 могу пинговать сеть за mik2 . С mik2 не могу пинговать внутренний интерфейс mik1 не саму сеть за mik1.
В чем моя ошибка, или куда мне копать. Спасибо