@AlexCranium :

Добрый вечер. Нужно поднять связь между MikroTik и Cisco. Есть внешние адреса, у обоих сторон, так же со стороны Cisco будет некий интерфейс tunelX на котором будет адрес например 192.168.1.1/30, а со стороны MikroTik должен быть 192.168.1.2/30. Данные адреса должны быть доступны и через них далее будет осуществляться маршрутизация между сетями находящимися за обоими роутерами. Подскажите со стороны MikroTik в каком направлении настраивать? Понимаю что в зависимости от того, что будет со стороны Cisco... IPIP Tunnel? GRE Tunnel? Адрес 192.168.1.2/30 на MikroTik я должен на какой интерфейс назначить? (задаю глупый вопрос) Я так понял данные тунели автоматически поднимают IPSec? У меня есть чистое IPsec соединение с Linux+StrongSwan, без типа IP-IP 192.168.1.1-192.168.1.2 Есть ли ссылка на хороший мануал свежий или видео ? Спасибо.

https://habr.com/ru/post/151951/ оно?

Данный мануал 2012года, читал его, но тут пример без промежуточных адресов. Я конечно рассматриваю и такой вариант, но Cisco настраивает женщина с характером, ей нравится с промежуточными адресами, вероятно потом будет OSPF

Что будет на стороне циски?

Данный мануал 2012года, читал его, но тут пример без промежуточных адресов. Я конечно рассматриваю и такой вариант, но Cisco настраивает женщина с характером, ей нравится с промежуточными адресами, вероятно потом будет OSPF

CSR1000v уже есть и IPSec даже вроде как поднимается, Микротик пишет "established"

Ахахаха. Так src нат для ipsec,out через ip полученный с сервера нужно тоже прописать

Не догоняю как это сделать. Нужно транслировать локалку в айпишник, который получил от сервака?

Вам же нат нужно делать или нет?

У меня тривиальная задача. Объединить две локалки:

Локалка микротика 192.168.88.0/24
Локалка libreswan 192.168.43.0/24

Микротик подключается к libreswan и получает там адрес из пула 192.168.43.10-192.168.43.100

Я подключился. Получил адрес 192.168.43.17. Прописал политики фильтре, отключил в srcnat трансляцию IPsec в WAN.

Могу сделать экспорт если нужно.

Сервер знает о вашей сети?

Поправочка, сервер не должен знать. Сервер должен видеть только мой роутер.

Воооот. Тогда нужно делать маскарад на через полученный адрес

На стороне циски на чем адрес висит?

Пока что в мониторинге не вижу интерфейса, но там есть другие TuX (X - число).
IP для связи будет висеть на этом интерфейсе.
А соединение будет по внешним IP адресам, со стороны циски он висит на физическом интерфейсе Gi3...

на  микротике надо создать gre/ipip интерфейс
повесить нс него /30 адрес
потом создавать  ipsec уже

Воооот. Тогда нужно делать маскарад на через полученный адрес