как правильно сделать nat для ipsec

[interface]

на картинке схема лаборатории в eve-ng
между router_1_asa и router__2_mikrotik настроен ipsec туннель. он без проблем работает в случае отсутствия роутера с именем mikrotik. этот роутер введен для изучения настройки проброса портов для этого туннеля. вот собсно и сабж. во всех роутерах с нуля настроено минимально необходимое т.е. они не нагружены какими либо правилами могущими помешать работе туннеля. на роутере mikrotik я настроил проброс цепочкой dst-nat action dst-nat портов 500 и 4500 на роутер router_2_mikrotik но туннель работать не возжелал. пинги между 172.25.0.100 и 10.10.1.100 ходят нормально т.е. роутинг работает. подозреваю что я чтото недонастроил. прошу помощи.

[vqd]

эм. А зачем в тоннеле нат то при наличии доступа к обоим устройствам?

[interface]

эм. А зачем в тоннеле нат то при наличии доступа к обоим устройствам?

натящий роутер mikrotik эмулирует собой роутер сотового оператора через который происходит выход в инет на одном нашем филиале. нат делается не в тоннеле. нат нужен для проброса портов позволяющих поднять туннель. т.е. мне надо сделать роутер mikrotik прозрачным для процесса установки туннеля. и не совсем понял вопроса про наличие доступа к обоим устройствам. к каким обоим и откуда?

[vqd]

конфиг IpSec покажите

[interface]

конфиг IpSec покажите

Код: Выделить всё

/interface ethernet
set [ find default-name=ether1 ] comment=wan
set [ find default-name=ether2 ] comment=local
set [ find default-name=ether3 ] comment=mgmt
/ip ipsec policy group
add name=group1
/ip ipsec proposal
add auth-algorithms=sha1,md5 enc-algorithms=\
    aes-256-cbc,aes-256-ctr,aes-256-gcm,3des name=proposal1
/ip address
add address=192.168.0.140/24 interface=ether3 network=192.168.0.0
add address=172.25.0.100/24 interface=ether1 network=172.25.0.0
add address=192.168.2.1/24 interface=ether2 network=192.168.2.0
/ip dhcp-client
add disabled=no interface=ether1
/ip firewall filter
add action=accept chain=forward
add action=accept chain=input
add action=accept chain=output
add action=accept chain=input dst-port=500 protocol=udp src-address=10.10.1.100
add action=accept chain=input protocol=ipsec-esp src-address=10.10.1.100
add action=accept chain=input protocol=ipsec-ah src-address=10.10.1.100
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\
    192.168.2.0/24
/ip ipsec peer
add address=10.10.1.100/32 enc-algorithm=aes-256,aes-128,3des exchange-mode=\
    ike2 generate-policy=port-strict secret=123456
/ip ipsec policy
add dst-address=192.168.1.0/24 proposal=proposal1 sa-dst-address=10.10.1.100 \
    sa-src-address=10.10.2.100 src-address=192.168.2.0/24 tunnel=yes
/ip route
add distance=1 gateway=172.25.0.1
/routing rip interface
add receive=v2
/routing rip network
add network=192.168.2.0/24
add network=172.25.0.0/24
/system logging

там ща включена генерация политик но это в порядке метода тыка. без этого тоже не работает.

[vqd]

nat-traversal задействуйте

[interface]

nat-traversal задействуйте

обновил на вся случай систему на микроте до последней. нат траверсал включил. не работает.

Код: Выделить всё

/ip ipsec peer profile
set [ find default=yes ] nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des name=profile1 nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des name=profile2
/ip ipsec peer
add address=10.10.1.100/32 exchange-mode=ike2 profile=profile2 secret=123456

на всяк случай покажу настройки ната на роутере mikrotik который для эмуляции роутера сотового оператора

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=500 in-interface=ether1 protocol=udp \
    to-addresses=172.25.0.100 to-ports=500
add action=dst-nat chain=dstnat dst-port=4500 in-interface=ether1 protocol=udp \
    to-addresses=172.25.0.100 to-ports=4500
add action=masquerade chain=srcnat out-interface=ether1