Vpn ipsec нет пинга

[Snorlax]

Господа, подскажите пожалуйста, я в микротиках новичок, появилась задачка поднять site-to-site VPN между микротиком и AT-AR750, с телесином я знаком на нём конфиг проверил, но с микротиком какая то засада, с обоих сторон проходят обе фазы, поднимается vpn, но пингов нет ни с одной строны. В разделе firewall-connections я вижу, что при пинге удаленного хоста, мне отвечает внешний IP микротика, видимо где то косяк в нате, но это лишь догадка.

дано
микротик
192.168.31.0/24
195.180.180.136
AR-750
192.168.0.0/20
80.254.80.2

# jan/17/2018 21:10:19 by RouterOS 6.38.5

/interface bridge
add admin-mac=CC:2D:E0:12:AD:95 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
set [ find default-name=ether6 ] name=ether6-master
set [ find default-name=ether7 ] master-port=ether6-master
set [ find default-name=ether8 ] master-port=ether6-master
set [ find default-name=ether9 ] master-port=ether6-master
set [ find default-name=ether10 ] master-port=ether6-master
/ip neighbor discovery
set ether1 discover=no
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des lifetime=1h
/ip pool
add name=default-dhcp ranges=192.168.31.30-192.168.31.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=ether6-master
add bridge=bridge comment=defconf interface=sfp1
/ip address
add address=192.168.31.1/24 comment=defconf interface=ether2-master network=\
192.168.31.0
add address=195.180.180.136/27 interface=ether1 network=195.180.180.128
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.31.0/24 comment=defconf dns-server=192.168.31.1 gateway=\
192.168.31.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=195.182.128.53
/ip dns static
add address=192.168.31.1 name=router
/ip firewall filter
add action=accept chain=input dst-port=8291,8085 protocol=tcp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=\
ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface=ether1
/ip firewall nat
add action=accept chain=srcnat disabled=yes dst-address=192.168.0.0/20 log=yes \
out-interface=ether1 protocol=tcp src-address=192.168.31.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" dst-address=\
!192.168.0.0/20 out-interface=ether1 src-address=192.168.31.0/24
add action=netmap chain=dstnat dst-port=8086 in-interface=ether1 log=yes \
protocol=tcp to-addresses=192.168.31.21 to-ports=80
/ip ipsec peer
add address=80.254.80.2/32 enc-algorithm=3des lifetime=8h nat-traversal=no \
secret=12345
/ip ipsec policy
add dst-address=192.168.0.0/20 sa-dst-address=80.254.80.2 sa-src-address=\
195.180.180.136 src-address=192.168.31.0/24 tunnel=yes
/ip route
add distance=1 gateway=195.180.180.129
add disabled=no distance=1 dst-address=192.168.0.0/20 gateway=ether1
/ip service
set www address=0.0.0.0/0 port=8085
set winbox address=0.0.0.0/0
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge

[kt72ru]

Трафик инициированный со стороны подсети за микротиком до подсети за АТ должен проходить без проблем, разрешающие правила есть. А вот если инициатор АТ то не хватает разрешающего правила. Добавьте для проверки в начало

/ip firewall filter add action=accept chain=forward src-address=192.168.0.0/20 dst-address=192.168.31.0/24

[Snorlax]

Спасибо пинги со строны сети за AT пошли, но если я пингую с микротика хосты в сети за AT, то пингов нет, к сожалению, пока, у меня нет ниодного хоста в сети за микротиком, и проврить не могу пинги с них, но пинги должны идти с микротика в сеть за AT?

[kt72ru]

С микротика должны тоже идти. При проверке пингом, указывайте с какого интерфейса или IP вы будете пинговать удаленную сеть.

Код: Выделить всё

/ping 192.168.0.1 src-address=192.168.31.1

[Snorlax]

Ах вот оно что, ясно.
Спасибо огромное, всё работает