У меня проблемы с настройкой IPsec VPN между двумя mikrotik 6.7. Туннель работает только тогда, когда соединение инициирует маршрутизатор 2. Я хотел бы, чтобы было наоборот, поэтому я установил маршрутизатор 2 как пассивный и поставил галочку "отправлять начальный контакт" на маршрутизаторе 1. Как только это сделано, маршрутизатор 2 становится отвечающим, и туннель устанавливается, но SA никогда не генерируются и трафик не проходит ни в одном направлении. Если я установлю для обоих маршрутизаторов "passive=no", то маршрутизатор 2 всегда будет имитатором, и до тех пор, пока маршрутизатор 2 генерирует какой-либо трафик первым, обе стороны смогут взаимодействовать. В противном случае маршрутизатор 1 не может связаться с маршрутизатором 2. Надеюсь, кто-нибудь сможет помочь. Спасибо.
Router 1
0 chain=srcnat action=accept src-address=172.20.24.0/24 dst-address=10.0.0.0/24
0 src-address=172.20.24.0/24 src-port=any dst-address=10.0.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=1.1.1.1 sa-dst-address=2.2.2.2 proposal=default priority=0
Flags: X - disabled
0 ;;; Unsafe configuration, suggestion to use certificates
address=2.2.2.2/32 passive=no port=500 auth-method=pre-shared-key secret=“password” generate-policy=no exchange-mode=aggressive send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5
Router 2
0 chain=srcnat action=accept src-address=172.20.24.0/24 dst-address=10.0.0.0/24
0 src-address=10.0.0.0/24 src-port=any dst-address=172.20.24.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=1.1.1.1 proposal=default priority=0
Flags: X - disabled
0 ;;; Unsafe configuration, suggestion to use certificates
address=1.1.1.1/32 passive=yes port=500 auth-method=pre-shared-key secret=“password” generate-policy=no exchange-mode=aggressive send-initial-contact=no nat-traversal=no proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5
Router 1
0 chain=srcnat action=accept src-address=172.20.24.0/24 dst-address=10.0.0.0/24
0 src-address=172.20.24.0/24 src-port=any dst-address=10.0.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=1.1.1.1 sa-dst-address=2.2.2.2 proposal=default priority=0
Flags: X - disabled
0 ;;; Unsafe configuration, suggestion to use certificates
address=2.2.2.2/32 passive=no port=500 auth-method=pre-shared-key secret=“password” generate-policy=no exchange-mode=aggressive send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5
Router 2
0 chain=srcnat action=accept src-address=172.20.24.0/24 dst-address=10.0.0.0/24
0 src-address=10.0.0.0/24 src-port=any dst-address=172.20.24.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=1.1.1.1 proposal=default priority=0
Flags: X - disabled
0 ;;; Unsafe configuration, suggestion to use certificates
address=1.1.1.1/32 passive=yes port=500 auth-method=pre-shared-key secret=“password” generate-policy=no exchange-mode=aggressive send-initial-contact=no nat-traversal=no proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5
