По IPSec IPIP пингуется только с одной стороны

[Atmel]

Добрый день!
Сконфигил IPSec IPIP между двумя маршрутизаторами.
С хоста за роутером с адресом (первый микротик), условно говоря, 95.37.41.55 проходит пинг до второго роутера с адресом (условно говоря) 95.80.75.17.
С хоста за вторым роутером пинги до сети первого микротика не идет.
Более того, если сделать на нем трассировку, то получим:
1 IP-адрес шлюза (т.е. микротика) в локальной сети
2 IP-адрес какого-то прова (mts, может, промежуточный маршрутизатор, с которым сотрудничает наш пров)
В общем, в туннель лезть не хочет. Хотя Policies вроде правильные , и маршрут до IPIP есть.

Помогите, пожалуйста, понять причину этого!
Шляньте конфиг, плиз?

Код: Выделить всё

/ip pool
add name=dhcp_pool0 ranges=192.168.0.1-192.168.0.14,192.168.0.16-192.168.0.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether2 name=dhcp1
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/ip address
add address=192.168.0.15/24 interface=ether2 network=192.168.0.0
add address=95.80.75.17/24 interface=ether1 network=95.80.75.0
add address=10.30.30.1/30 interface=ipip-vpn network=10.30.30.0
/ip cloud
set update-time=no
/ip dhcp-client
add dhcp-options=hostname,clientid interface=ether2
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.15

/ip dns
set servers=8.8.8.8
/ip firewall filter
add action=accept chain=input dst-port=500 in-interface=ether1 log=yes \
    protocol=udp
add action=accept chain=input in-interface=ether1 log=yes protocol=ipsec-esp
add action=accept chain=input dst-address=192.168.1.0/24 log=yes log-prefix=\
    192.168.1.0
add action=accept chain=forward dst-address=192.168.1.0/24 log=yes log-prefix=\
    "forward from 192.168.1.0" out-interface=ipip-vpn
add action=accept chain=input dst-address=192.168.0.0/24 log=yes log-prefix=\
    "input from 10.30.30.0" src-address=10.30.30.0/30
add action=accept chain=forward src-address=10.30.30.0/30
add action=drop chain=input dst-port=22 in-interface=ether1 protocol=tcp
add action=drop chain=input dst-port=23 in-interface=ether1 protocol=tcp
add action=accept chain=input in-interface=ether1
add action=accept chain=forward in-interface=ether2
/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.1.0/24 log=yes \
    log-prefix="============" out-interface=ipip-vpn
add action=masquerade chain=srcnat out-interface=ether1
/ip ipsec identity
add peer=peer1 secret="************"

/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.1.0/24 sa-dst-address=95.37.41.55 sa-src-address=\
    95.80.75.17 src-address=192.168.0.0/24 tunnel=yes
/ip route
add check-gateway=ping distance=1 gateway=95.80.75.1
add distance=1 dst-address=192.168.1.0/24 gateway=10.30.30.2

[Atmel]

Да, еще:
с обоих микротиков можно пинговать сети за ними. Т.е. дело в прохождении через NAT/Filter
Но где поправить, пока не нахожу.

[Chupaka]

Добрый.

Вы видите у себя в конфиге интерфейс IPIP? Я - нет.

Masquerade для out-interface=ipip-vpn вам зачем? Уберите, не надо вам маскарадить локальный трафик.

IPSec Policy у вас для тоннеля, какое оно отношение имеет к IPIP - я пока тоже понять не могу... Надо делать либо IPIP over IPSec (и там уже прописывать маршруты к локальным подсетям), либо просто IPSec, а у вас как будто всё в кучу...

[Atmel]

IPIP - это 10.30.30.1
Его создал, когда бился над чистым IPsec, чтобы хоть что-то визуально маршрутизировать.

В общем, как и ожидалось, дело было в NAT.
Политики обрабатываются уже после прохождения NAT, и трафик попадает уже с маскарадным адресом. Добавил правило, пинги пошли, удаленные шары открываются.

ipip-vpn удалил, спасибо.

[Atmel]

Перечитал, да, точно, удалил, спасибо.
нат для ipip-vpn создал когда увидел, что трафик для уд.сети в туннель вообще не смотрит.