Блог

Я пытаюсь установить соединение между сайтами между шлюзом виртуальной сети Azure и локальным сайтом с помощью Mikrotik (RouterOS 6.43.10).

Я следовал различным руководствам по настройке:

• https://blogs.technet.microsoft.com/netgeeks/2017/07/11/creating-a-site-to-site-vpn-ipsec-ikev2-with-azure-and-mikrotik-routeros/
• https://github.com/Azure/Azure-vpn-config-samples/blob/bdc2939a90210a7aa8957f49a40eb0e8312530aa/MikroTik/Current/Site-to-Site_VPN_using_MikroTik_RouterOS.md
• http://www.dataone.nz/?p=561

Согласно журналу ipsec, все они завершаются ошибкой с отсутствием полезной нагрузки ошибки: ID_R.

Есть идеи?

У меня только что возникла такая же проблема с настройкой Azure Site-to-Site VPN для клиента через стороннего поставщика. Не получив от них никакой реальной поддержки, я закончил созданием тестовой среды Azure и поиском решения… что прямо перед сторонним инженером все время: необходимо включить «Использовать селектор трафика на основе политики».

Проблема в том, что маршрутизатор Mikrotik в настоящее время не поддерживает VTI и требует обмена селекторами трафика на основе политик (TS_R, TS_I), чтобы выбрать, какую политику IPSEC использовать.

Для подключения к шлюзу виртуальной сети Azure по умолчанию отключен параметр «Использовать селектор трафика на основе политики». Все, что вам нужно сделать, это включить этот параметр, и Azure отправит соответствующие полезные данные IKEv2, и ваше соединение будет восстановлено. 👍

Согласно RFC 4306, необязательный идентификатор полезной нагрузки IDr позволяет инициатору указать, с каким из идентификаторов ответчика он хочет связаться. Это полезно, когда на компьютере, на котором запущен ответчик, размещено несколько удостоверений с одним и тем же IP-адресом.

Ваше устройство ожидает IDr, и Azure Gateway не отправляет его. Можете ли вы проверить, можете ли вы отключить функцию, которая ожидает полезную нагрузку IDr?