>[оверквотинг удален]
>> Это командой "ping 10.8.0.1 src-address=10.7.0.1" указывается.
> tools traceroute ?
> ip ipsec remoute-peers print ?
> ip ipsec installed-sa print ?
> system logging добавить логирование ipset кроме packet
> логи что говорят ?
> проблем с ipsec между mikrotik - mikrotik - нет
> проблем с ipsec между mikrotik - cisco asa - нет
> проблем с ipsec между mikrotik - cisco router - нет
> возможные проблемы фаервол + маршрутизация. tool traceroute 10.8.0.1
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
1 100% 1 timeout
2 93.85.81.1 0% 1 4.4ms 4.4 4.4 4.4 0
3 93.85.252.129 0% 1 14ms 14 14 14 0 <MPLS:L=17931,E=0,T=255>
4 93.85.253.70 0% 1 12.1ms 12.1 12.1 12.1 0 <MPLS:L=19180,E=0,T=255>
5 93.85.253.106 0% 1 10.4ms 10.4 10.4 10.4 0
6 93.85.240.118 0% 1 19ms 19 19 19 0
7 100% 1 timeout
8 100% 1 timeout
9 100% 1 timeout
10 100% 1 timeout
11 0% 1 0ms
ip ipsec remote-peers print
0 local-address=Y.Y.Y.Y remote-address=X.X.X.X state=established side=responder established=14h10m41s
в установленных SA - пусто
ip ipsec installed-sa print
Flags: A - AH, E - ESP
Добавлю что в фаерволе добавлял правила
3 ;;; Allow IKE
chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""
4 ;;; Allow IPSec-esp
chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
5 ;;; Allow IPSec-ah
chain=input action=accept protocol=ipsec-ah log=no log-prefix=""
Выше данных правил нет запрещающих правил.
