Есть такое облако, mail.ru, вот инструкция на той стороне, ну там вроде всё просто некст-некст. https://mcs.mail.ru/docs/ru/networks/vnet/vpn/create-vpn На моей стороне CCR1009-8G-1S-1S+ Вроде как я сумел сделать Ph1, поскольку вижу поднявшийся активный пир. Кстати, как выводить это список через консоль. Но вот дальше это не продвинулся, Ph2 не поднимается. Как убедиться что фаза один у меня правильная, и как смотреть её состояние в терминале. Что я мог сделать не так в фазе 2, как диагностировать, особенно если логи с той стороны вот просто так недоступны. Их можно запрашивать но не оперативно. # feb/01/2022 09:50:58 by RouterOS 6.48.6 # software id = SW0T-05C6 # # model = CCR1009-8G-1S-1S+ /ip ipsec profile set [ find default=yes ] dh-group=modp1536 enc-algorithm=aes-256 lifetime=1h add dh-group=modp1536 enc-algorithm=aes-256 lifetime=1h name=2191 /ip ipsec peer add address=<IP CLOUD ROUTER> local-address=<IP LOCAL ROUTER> name=<PEER ID> profile=2191 /ip ipsec proposal add enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm lifetime=1h name=2191 pfs-group=modp1536 /ip firewall nat add action=accept chain=srcnat comment="ipsec mailru" dst-address=10.0.0.0/24 src-address=192.168.0.0/16 /ip firewall raw add action=notrack chain=prerouting comment=mailrubld dst-address=192.168.0.0/16 src-address=10.0.0.0/24 add action=notrack chain=prerouting comment=mailrubld dst-address=10.0.0.0/24 src-address=192.168.0.0/16 /ip ipsec identity add peer=<PEER ID> /ip ipsec policy set 0 proposal=2191 add dst-address=10.0.0.0/24 ipsec-protocols=ah peer=<PEER ID> proposal=2191 src-address=192.18.0.0/16 tunnel=yes
Итого, может кому то пригодится. фаервол пока не причесывал. /ip ipsec profile add dh-group=modp1536 enc-algorithm=aes-256 name=2191 nat-traversal=no \ proposal-check=strict /ip ipsec peer add address=<IP/MASK remote router> exchange-mode=ike2 local-address=<IP local router> \ name=<PEER ID> profile=2191 /ip ipsec proposal add auth-algorithms=sha512,sha256,sha1 enc-algorithms=\ aes-256-cbc,aes-256-ctr,aes-256-gcm name=2191 pfs-group=modp1536 /ip firewall filter add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\ udp add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment=\ "defconf: accept to local loopback (for CAPsMAN)" disabled=yes dst-address=\ 127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related hw-offload=yes add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=\ invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \ connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \ ipsec-policy=out,none out-interface-list=WAN /ip ipsec identity add my-id=address:<PEER ID> peer=<PEER ID> /ip ipsec policy add dst-address=10.0.0.0/24 peer=<PEER ID> proposal=2191 src-address=\ 192.168.0.0/23 tunnel=yes /system clock set time-zone-name=Europe/Moscow /system ntp client set enabled=yes /system ntp client servers add address=0.ru.pool.ntp.org add address=1.ru.pool.ntp.org
