Туннель Site to Site IpSec на Mikrotik с D-Link DFL-860E (В общем, просто чтобы зафиксировать, что мы делали. Буду описывать настройку, а потом выложу конфиг. Надо чтобы все работало стабильно, без обрывов, чтоб можно было спокойно пинговать и работать.

Здравствуйте!

Уже третий день не получается настроить IpSec туннель между маршрутизаторами Mikrotik RB951G и D-Link DFL-860E. При этом туннель между двумя одинаковыми маршрутизаторами D-Link работает отлично с указанными ниже настройками, но с Mikrotik не получается. Пожалуйста, помогите решить эту проблему!

В офисах установлены эти маршрутизаторы со следующими настройками:

Маршрутизатор D-Link DFL-860E:
*   WAN IP: y.y.y.214
*   LAN IP: 192.168.7.1
*   LAN сеть: 192.168.7.0/24

Маршрутизатор Mikrotik RB951G:
*   WAN IP: x.x.x.76
*   LAN IP: 192.168.31.1
*   LAN сеть: 192.168.31.0/24

Настройки D-Link DFL-860E:

*   Общая локальная сеть: 192.168.7.0
*   Удалённая сеть: 192.168.31.0
*   Удалённый эндпоинт: x.x.x.76
*   Режим инкапсуляции: Tunnel
*   Режим IKE: Pool (None)
*   Алгоритмы IKE: 3DES, AES, MD5, SHA
*   Время жизни IKE: 28800 секунд
*   Алгоритмы IPsec: 3DES, AES, MD5, SHA
*   Время жизни IPsec: 3600 секунд
*   Время жизни IPsec: 0 килобайт
*   Аутентификация: Общий секретный ключ
*   Тип локального ID: Авто
*   IKE XAuth: Off
*   Маршрутизация: Добавить маршрут к удалённой сети при установлении туннеля - ON
*   Прозрачный MTU: 1400
*   IP-адреса: Автоматически выбирать адрес локального интерфейса, соответствующий локальной сети
*   Настройки IKE:
   *   IKE - Aggressive - 1
   *   Группа DH [768 бит]
   *   Идеальное прямое секрет - NONE
   *   Ассоциация безопасности - per net
   *   Переход NAT - On, если поддерживается и находится за NAT
   *   Обнаружение неактивного узла (Dead Peer Detection) - ON
   *   Keep-alive - Auto

Настройки Router D-Link DFL-860E:

```
/interface bridge add admin-mac=D4:CA:6D:E0:76:B9 auto-mac=no l2mtu=1598 name=bridge-local protocol-mode=rstp
/interface ethernet set 0 name=ether1-gateway set 1 name=ether2-master-local set 2 master-port=ether2-master-local name=ether3-slave-local set 3 master-port=ether2-master-local name=ether4-slave-local set 4 master-port=ether2-master-local name=ether5-slave-local
/ip ipsec proposal set [ find default=yes ] auth-algorithms=md5 enc-algorithms=aes-128,aes-256 pfs-group=modp768
/ip pool add name=dhcp ranges=192.168.31.10-192.168.31.100
/ip dhcp-server add address-pool=dhcp disabled=no interface=bridge-local name=default
/interface bridge port add bridge=bridge-local interface=ether2-master-local add bridge=bridge-local interface=wlan1
/interface pptp-server server set enabled=yes
/ip address add address=192.168.31.1/24 comment="default configuration" interface=wlan1 add address=x.x.x.76/24 interface=ether1-gateway
/ip dhcp-client add comment="default configuration" interface=ether1-gateway
/ip dhcp-server network add address=192.168.31.0/24 comment="default configuration" dns-server= 192.168.31.1 gateway=192.168.31.1 netmask=24
/ip dns set allow-remote-requests=yes servers=217.30.180.230,217.30.182.230
/ip dns static add address=192.168.88.1 name=router
/ip firewall filter add chain=input comment="Allow NAT-T" dst-port=4500 protocol=udp add chain=input comment="allow ping" protocol=icmp add chain=output comment="allow ping(incomming)" protocol=icmp add chain=input comment="Allow IKE" dst-port=500 protocol=udp add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah add chain=input comment="default configuration" connection-state=established add chain=output comment="allow LAN to IPSEC" add chain=input comment="default configuration" connection-state=related add action=drop chain=input comment="default configuration" disabled=yes in-interface=ether1-gateway add chain=forward comment="default configuration" connection-state= established add chain=forward comment="default configuration" connection-state=related add action=drop chain=forward comment="default configuration" connection-state=invalid
/ip firewall nat add chain=srcnat dst-address=192.168.7.0/24 src-address=192.168.31.0/24 add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway to-addresses=0.0.0.0
/ip ipsec peer add address=y.y.y.214/32 dh-group=modp1536 exchange-mode=aggressive generate-policy=yes secret=clsHEL
/ip neighbor discovery set ether1-gateway disabled=yes set wlan1 disabled=yes
/ip route add distance=1 gateway=x.x.x.254 add distance=1 dst-address=192.168.7.0/24 gateway=ether1-gateway pref-src= 192.168.31.1
/system leds set 0 interface=wlan1
/system logging add disabled=yes topics=debug add disabled=yes topics=ipsec
/tool mac-server add disabled=no interface=ether2-master-local add disabled=no interface=ether3-slave-local add disabled=no interface=ether4-slave-local add disabled=no interface=ether5-slave-local add disabled=no interface=wlan1 add disabled=no interface=bridge-local
/tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=ether2-master-local add interface=ether3-slave-local add interface=ether4-slave-local add interface=ether5-slave-local add interface=wlan1 add interface=bridge-local
```

При этих настройках туннель вроде бы работает, и я предполагаю, что проблема в маршрутизации.

В Winbox я могу видеть следующее:

*   Установленные SA с ключами и номерами байтов
*   IPsec политики генерируются автоматически с Tunnel (yes)
*   `tracert 192.168.31.1` с `192.168.7.12`:

   ```
   1     *        *        *        timeout
   2    58 ms    58 ms    58 ms  192.168.31.1
   ```
*   `tracert 192.168.7.12` с `192.168.31.1`:

   ```
   1     *         *        *        timeout
   2    59 ms    60 ms    59 ms  192.168.7.12
   ```

Я могу получить доступ к удалённому маршрутизатору Mikrotik (LAN2) с рабочей станции (LAN1), но не могу получить доступ к хостам в периметре LAN2.

Заранее благодарен за любые подсказки!