Russian Users MikroTik | Форум пользователей MikroTik

Добрый день.
Имеем два микротика.
1 с белым адресом.
2 с серым за nat провайдера
Можно ли создать между ними чистый ipsec, используя NAT-Traversal.
Если можно, то какие будут ограничения?
Туннели ppp и белый адрес просьба не рассматривать

Можно.
Да вроде никаких особенных ограничений.

Так нужен же проброс порта за nat провайдера?
Что указывать в качестве пира на микротике с белым адресом?
Белый адрес провайдера по логике.
Но не понятно как без проброса установится соединение с микротиком, у которого серый адрес, по 500 порту

Нет, тот, который с белым адресом настраивается как responder.
Пример на офф стайте есть:
https://wiki.mikrotik.com/wiki/Manual:I ... _using_DNS

СпасибО

Да не за что :)
Напишите потом, получилось или нет.

Я не хочу раздавать адреса через mode config ike v2
Вобщем, пока думаю в настройках пира микротика с белым адресом выставить
Send -initial-contact=no и passive=yes
generate-policy=port-strict

Использовать туннельный режим и Policy-template-group

insect_87 писал(а): ↑24 ноя 2019, 10:55 Я не хочу раздавать адреса через mode config ike v2

Ну в примере то это используется для поднятия GRE-туннеля между адресами.
В вашем случае наверное можно и упростить.

В том-то и дело. Я вообще не хочу GRE использовать.
Просто ipsec в чистом виде в tunnel mode, с той лишь разницей, что с одной стороны будет серый ip.

Для gre over transport ipsec будут нужны оба белых ip. GRE иначе не заработает