Konfiguracja połączenia ipsec między mikrotikiem a VPN Atman Cloud

Poniżej przykład konfiguracji która umożliwia zestawić połączenie ipsec między mikrotikiem a VPN Atman Cloud.
W tym celu należy użyć ikev1, parametr exchange-mode=main również jest kluczowy.

/ip ipsec profile
add dh-group=modp2048 dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=\
    aes-256 hash-algorithm=sha1 lifetime=1h name=ipsec-profile-to-VPNaaS nat-traversal=\
    yes proposal-check=obey
/ip ipsec peer
add address=185.2.112.178/32 disabled=no exchange-mode=main local-address=\
    12x.xxx.xxx.xx8 name=peer-VPNaaS profile=ipsec-profile-to-VPNaaS send-initial-contact=\
    yes
/ip ipsec proposal
add auth-algorithms=sha1 disabled=no enc-algorithms=\
    aes-256-cbc,aes-256-ctr,aes-256-gcm lifetime=1h name=ipsec-proposal-to-VPNaaS \
    pfs-group=modp2048
/ip ipsec identity
add auth-method=pre-shared-key disabled=no generate-policy=no my-id=\
    address:12x.xxx.xxx.xx8 peer=peer-VPNaaS secret=notSoSecretPass
/ip ipsec policy
add action=encrypt disabled=no dst-address=172.31.0.0/16 dst-port=any \
    ipsec-protocols=esp level=require proposal=ipsec-proposal-to-VPNaaS protocol=all \
    sa-dst-address=185.2.112.178 sa-src-address=12xx.xxx.xxx.xx8 src-address=\
    192.168.1.0/24 src-port=any tunnel=yes

Dodatkowo, jeśli używany jest NAT na mikrotiku należy przepuścić ruch dla łączonych sieci:

/ip firewall nat
add chain=srcnat action=accept  place-before=0 \
 src-address=192.168.1.0/24 dst-address=172.31.0.0/16

Ustawienia po stronie openstack’a: