EoIP @ IPsec = MAC mismatched

[Max Zia]

Привет.

Не могу забодать вроде бы простой сетап.

EoIP между Ultra и 4G. У первого белый адрес, у второго - серый.

Делаю настройку EoIP с IPsec по мануалу https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP

Туннель не поднимается с сообщениями на сервере:

15[IKE] linked key for crypto map 'EoIP0' is not found, still searching
15[IKE] tried 2 shared keys for 'EoIP0' - 'EoIP0', but MAC mismatched
IpSec::Configurator: unable to authenticate remote peer for crypto map "EoIP0".
IpSec::Configurator: (possibly because of wrong local/remote ID).

на клиенте:

06[IKE] received AUTHENTICATION_FAILED notify error
IpSec::Configurator: remote peer rejects to authenticate our crypto map "EoIP0".
IpSec::Configurator: (possibly because of wrong local/remote ID).

eoip id, и psk, естественно, одинаковые

Из самостоятельной правки - ip mtu на сервере приведено в соответствие с клиентом.

self-test 4g.txt self-test ultra.txt

[Le ecureuil]

@Max Z попробуйте
1 - установить одинаковый psk для eoip и l2tp/ipsec и virtual ip-серверов
Если не поможет, то
2 - отключить l2tp/ipsec и virtual ip серверы.

В обоих случаях напишите сюда, подумаем что можно сделать.

[Max Zia]

@Le ecureuil однако, помогло. Правда, не понял, что именно.

1. установил тот же psk на l2tp/ipsec (ключ автоматом проставился на ipsec vi) - не помогло

2. выключил оба vpn сервера - не помогло

3. удалил l2tp/ipsec сервер, роутер автоматом перезагрузился - помогло

не уверен, что это правильный ответ, ибо наводит на мысль, что crypto map существует только в единственном экземпляре и используется вообще для всего, что обращается к ipsec.

В планах поднять второй eoip бридж, и очень уж не хочется расшаривать тот же psk 😒

зы: свежий st в аттаче

self-test ultra.txt

[Le ecureuil]

@Max Z спасибо за наблюдения, я посмотрю что можно сделать в 3.5.