ipsec ike2 strongSwan

[mmaerov]

Добрый день, настроил ipsec ike2, по статейке, на клиенте, андроиде, strongSwan. Подключаюсь к серверу с использованием сертификатов, соединение устанавливается, адрес из локалки выдаю. Внутренние ресурсы недоступны. Конфиг сервера:

```
/ip ipsec mode-config
add address-pool=pool_vpn_local name=IKEv2 static-dns=10.20.88.250 \
    system-dns=no
/ip ipsec policy group
add name=IKEv2
/ip ipsec profile
add name=IKEv2
/ip ipsec peer
add exchange-mode=ike2 name=IKEv2 passive=yes profile=IKEv2
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,3des
add name="IKEv2" auth-algorithms=sha1 
      enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m 
      pfs-group=non
add name=IKEv2 pfs-group=none
/ip ipsec identity
add auth-method=digital-signature certificate=Home-Tik-SERVER \
    generate-policy=port-strict mode-config=IKEv2 peer=IKEv2 \
    policy-template-group=IKEv2
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 proposal="sha256 aes-128 cbc" src-address=\
    0.0.0.0/0
add dst-address=0.0.0.0/0 group=IKEv2 proposal=IKEv2 src-address=0.0.0.0/0 \
    template=yes
```

Все настройки на клиенте, сертификат, домен. Посмотрите плиз, может увидите очевидную ошибку, три мануала уже пробовал, взлетает только на одном.

[mmaerov]

Админ, перенеси пожалуйста тему, куда следует. Не знаю, как меня так угораздило, прошу прощения.

[stepnoy2005]

приветствую, а ссылку на инструкцию можешь дать? я тоже сейчас разбираюсь, есть определенные проблемы, может по твоей инструкции найду что у меня не так в конфиге

 

/interface bridge
add name=bridge-loopback

/interface ethernet
set [ find default-name=ether1 ] disable-running-check=no

/ip ipsec mode-config
add address=10.242.0.2 address-prefix-length=32 name="modeconf PT-SERVER" split-include=10.242.0.0/24 static-dns=10.242.0.1 system-dns=no
add address=10.242.0.3 address-prefix-length=32 name="modeconfig Admin" split-include=0.0.0.0/0 static-dns=10.242.0.1 system-dns=no
add address=10.242.0.4 address-prefix-length=32 name="server-1C modeconfig" split-include=0.0.0.0/0 static-dns=10.242.0.1 system-dns=no
add address=10.242.0.5 address-prefix-length=32 name="modeconfig Eremenko-Server" split-include=0.0.0.0/0 static-dns=10.242.0.1 system-dns=no
add address=10.242.0.6 address-prefix-length=32 name="modeconfig Galaktika-Server" split-include=0.0.0.0/0 static-dns=10.242.0.1 system-dns=no

/ip ipsec policy group
add name="group vpn.Mysite.ru"

/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha256 name="profile vpn.Mysite.ru"

/ip ipsec peer
add comment=10.129.0.27 exchange-mode=ike2 local-address=10.129.0.27 name="peer Mysite.ru" passive=yes profile="profile vpn.Mysite.ru"

/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm lifetime=8h name="proposal Mysite.ru" pfs-group=none

/ip pool
add name="pool vpn.Mysite.ru" ranges=10.242.0.10-10.242.0.250
add name=pool1 ranges=10.242.0.2
add name=pool2 ranges=10.242.0.3

/ip ipsec mode-config
add address-pool="pool vpn.Mysite.ru" address-prefix-length=32 name="modeconf vpn.Mysite.ru" split-include=10.242.0.0/24 static-dns=10.242.0.1 system-dns=no

/ip neighbor discovery-settings
set discover-interface-list=none

/ip address
add address=10.242.0.1/24 interface=bridge-loopback network=10.242.0.0

/ip dhcp-client
add disabled=no interface=ether1

/ip dns
set allow-remote-requests=yes servers=10.242.0.1

/ip firewall address-list
add address=10.0.250.0/24 disabled=yes list=NAT
add address=10.0.242.0/24 list=NAT
add address=85.172.60.112 list=ALLOW
add address=91.226.137.224 list=ALLOW
add address=84.201.142.9 list=ALLOW
add address=194.60.242.133 list=ALLOW
add address=10.242.0.0/24 list=ALLOW

/ip firewall filter
add action=accept chain=input dst-port=500,4500 in-interface=ether1 protocol=udp
add action=accept chain=forward in-interface=ether1 ipsec-policy=in,ipsec
add action=drop chain=input dst-address=10.129.0.27 dst-port=8291 protocol=tcp src-address-list=!ALLOW
add action=drop chain=input dst-address=10.129.0.27 dst-port=53 protocol=tcp src-address-list=!NAT
add action=drop chain=input dst-address=10.129.0.27 dst-port=53 protocol=udp src-address-list=!NAT

/ip firewall nat
add action=src-nat chain=srcnat comment="src-nat vpn user" ipsec-policy=out,none out-interface=ether1 src-address=10.242.0.0/24 to-addresses=10.129.0.27


/ip ipsec identity
add auth-method=digital-signature certificate=vpn.Mysite.ru generate-policy=port-strict match-by=certificate mode-config="modeconf vpn.Mysite.ru" peer="peer Mysite.ru" policy-template-group="group vpn.Mysite.ru" remote-certificate=\
    PT5@vpn.Mysite.ru remote-id=user-fqdn:PT5@vpn.Mysite.ru
.
.
.
.

	
/ip ipsec policy
add dst-address=10.242.0.0/24 group="group vpn.Mysite.ru" proposal="proposal Mysite.ru" src-address=0.0.0.0/0 template=yes

 

 

 

 

у меня проблема в том что подключение раньше проходило за сек, а теперь с 10го раза

 

 

но такая проблема только через оптоволокна, если я через мобильный то все нормально