Russian Users MikroTik | Форум пользователей MikroTik

...и манглы, и много маршрутов есть.
А как понять, что УЛЕТАЕТ не через того провайдера и ЧТО улетает не через того провайдера??!!
Логи же перед Вами, а они пусты((

У вас же в логи не все пишется.

Как отлавливать:
1) посмотреть список соединений
2) создать в firewall'е правила, которые как раз таки будут в логи отправлять наличие gre пакетов.
3) или torch запустить, ловить те же gre пакеты
4) в итоге найти место, кто их не пропускает или не отправляет или отправляет не туда.

Ну и просто свой конфиг посмотрите, где у вас что может вмешиваться в процесс.
Вот схема того, как обрабатывается пакет, в случае, если он попадает под ip-sec policy. Там столько мест, где его можно "сбить с пути":
https://wiki.mikrotik.com/wiki/Manual:P ... Decryption

Учитывая, что сам ipsec "вроде как" работает, то проблема получается где-то в зеленых стрелках.
Раз firewall отключен, смотрите nat, mangle.

Вообще я сейчас повнимательнее попытался всё это представить.

В общем смотрите, при работающем туннеле между внешними адресами роутеров должно быть три активных соединения (не обязательно в одном направлении):
1) UDP, port 500: ISAKMP - собствено установка SA
2) ipsec-esp (50): упакованные в ipsec пакеты.
3) gre (47): собственно уже распакованный туннель.

С 1) я так понимаю все в порядке.
Если 2) тоже есть, а вот 3) нет - то проблему надо смотреть где-то на зеленых стрелках, с уже распакованным пакетом (правда там не совсем, как на картинке, когда пакеты для самого роутера - просто петля по одним и тем же цепочкам).
А вот если и 2) и 3) нет, тогда видимо надо смотреть первый круг.
Ну или вообще есть вариант, что 50 протокол, где-то по пути не проходит.

Напишите здесь, пожалуйста, какие правила в firewall нужно прописать, чтоб логи этих правил были бы информативны в случае с теми тремя моментами, которые вы описали.

Как-то так:

Здравствуйте.
Я попытался поднять GRE-туннель между двумя 951-ми роутерами с внешними статическими IP. Ознакомился с этим материалом для раздела Site to Site GRE tunnel over IPsec (IKEv2) using DNS.

Как я понимаю, сначала должен подыматься IPsec-туннель между роутерами, а затем уже внутри его — GRE.
Но интерфейсы GRE на обоих роутерах не запускаются. Способ включения логов для GRE я не нашел.

Версии RouterOS на обоих роутерах 6.48.6. IPsec между роутерами подымается. Динамические policies создаются. Но GRE-интерфейсы не в состоянии running. Я уже дошел до тупейшего копипаста команд из статьи мануала. Пробовал и на основе сертификатов пиров создавать, и с паролями. Итог один и тот же. В файрволле я и разрешал различные протоколы, и отключал вовсе все правила drop. Ничего не меняется. А логи GRE где искать я так и не понял.

Подскажите, пожалуйста, с чего начать поиск корня проблемы?

С firewall.
Протокол GRE должен быть разрешен в цепочке input с доп условием ipsec-policy=in,ipsec на обоих роутерах.

xvo писал(а): ↑24 сен 2023, 13:22 С firewall.
Протокол GRE должен быть разрешен в цепочке input с доп условием ipsec-policy=in,ipsec на обоих роутерах.

Правила как 1 и 2 есть на обоих роутерах. Не помогает.

Попробуйте поднять GRE либо вообще без IPSec'а, либо со "встроенным" (когда просто в настройках самого интерфейса IPSec secret задается) - понять, проблема именно в GRE, или что у вас внутри IKEv2 ничего не ходит.

xvo писал(а): ↑24 сен 2023, 21:58 Попробуйте поднять GRE либо вообще без IPSec'а, либо со "встроенным" (когда просто в настройках самого интерфейса IPSec secret задается) - понять, проблема именно в GRE, или что у вас внутри IKEv2 ничего не ходит.

Между двумя статическими IP с ключом IPsec для GRE-интерфейса туннель подымается. Не работает он именно поверх IPsec.

Запустил на VMware две виртуальных машины с RouterOS 6.48.6. Настроил в них всё по вышеупомянутой статье, и всё работает.
Понять, что не так на живых роутерах, помогли бы логи. Но где их взять? В system logging можно включить что угодно, но только не логи для GRE.