Взываю к гуру микротиков!
Ситуация следующая: жили были две циски, циска А и циска Б. За циской А две подсети 192.168.7.80/29 и 192.168.35.0/24. За циской Б одна 192.168.1.0/24. Между ними айписек в туннельном режиме. И все было хорошо пока циска А не померла.
Вместо нее купили микротик и начались проблемы. ACL для IPSec'a на умершей циске выглядел так:
access-list 100 permit ip host 192.168.35.2 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.7.80 0.0.0.7 192.168.1.0 0.0.0.255
На микротике все настроил, проблема в том что доступ есть только у 7.80/29. Хост 35.2 доступа к 1.0/24 не имеет. Вот выдержка из policy на микротике:
[user@device] /ip ipsec> policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes
1 ;;; comment#1
src-address=192.168.7.80/29 src-port=any dst-address=192.168.1.0/24 dst-port=any protocol=all
action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=xx.xx.xx.xx
sa-dst-address=yy.yy.yy.yy proposal=moscow-cisco priority=0
2 ;;; comment#2
src-address=192.168.35.2/32 src-port=any dst-address=192.168.1.0/24 dst-port=any protocol=all
action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=xx.xx.xx.xx
sa-dst-address=yy.yy.yy.yy proposal=moscow-cisco priority=0
TLDR. 192.168.7.80/29 => 192.168.1.0/24 ходит. 192.168.35.2/32 => 192.168.1.0/24 не ходит. Нужно чтоб ходило.