На ASA IPsec настроен правильно и работает на 100%, проверял пробуя подключить Win7. Не могу победить настройки IPsec в Mikrotik. Для теста и понимания взял два микротика и настроил между ними IPsec. Настройки следующие:
Router A
/ip ipsec proposal
add auth-algorithms=sha512 enc-algorithms=aes-256-cbc name=mikrotik/mikrotik pfs-group=none
/ip ipsec peer
add address=Y.Y.Y.Y/32 dpd-maximum-failures=2 nat-traversal=no policy-template-group=group1 secret=test
/ip ipsec policy
add dst-address=10.7.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=Y.Y.Y.Y sa-src-address=X.X.X.X src-address=10.8.0.0/24 tunnel=yes
/ip ipsec policy group
add name=group1
/ip address
add address=10.8.0.1/24 comment="test network" interface=bridge network=10.8.0.0
/ip firewall nat
add chain=srcnat dst-address=10.7.0.0/24 src-address=10.8.0.0/24Router B
/ip ipsec proposal
add auth-algorithms=sha512 enc-algorithms=aes-256-cbc name=mikrotik/mikrotik pfs-group=none
/ip ipsec peer
add address=X.X.X.X/32 dpd-maximum-failures=2 nat-traversal=no passive=yes policy-template-group=group1 \
secret=test send-initial-contact=no
/ip ipsec policy
add dst-address=10.8.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=X.X.X.X sa-src-address=Y.Y.Y.Y src-address=10.7.0.0/24 tunnel=yes
/ip ipsec policy group
add name=group1
/ip address
add address=10.7.0.1/24 interface=bridge network=10.7.0.0
/ip firewall nat
add chain=srcnat dst-address=10.8.0.0/24 src-address=10.7.0.0/24
Где 10.7.0.0/24 и 10.8.0.0/24 - тестовые подсетки созданные на роутерах. Правила фаервола приведенное выше для ната находится выше всех по приоритету для того чтобы трафик не натился. При выполнении команды
ping 10.8.0.1 src-address=10.7.0.1
с Router B чтобы появился интересующий трафик для поднятия туннеля - реакции никакой. Все счетчики пустые, ничего не шифруется ну и пинг естественно не идет. Куда копать ?