Буду благодарен... подзадолбался уже

leftsubnet=0.0.0.0/0
rightsourceip=10.20.30.0/24
rightsubnet=10.20.30.0/24
/ip ipsec policy
add dst-address=10.20.30.2/32 peer=ike2-rw proposal=ike2-rw sa-dst-address=.27 sa-src-address=.105 src-address=10.20.30.1/32 tunnel=yes

приведи в соответствие одного с другим

главное, сначала настрой peer+profile+proposal на микроте,
на линуксе запусти swanctl --log и мониторь
Включи на микроте пир. Policy не активируй.
На линуксе появится небольшой лог про phase1.
Потом активируй policy на микроте, на линуксе появится сообщение об установлении SA phase2 с соотв.протоколом.
Если swanctl нету, то просто ipsec statusall после каждого действия выполняй

ну и после изменений в ipsec.conf не забудь передёрнуть демона, а на микроте передёрнуть пир

assigning virtual IP 10.20.30.1 to peer 'sweethome'
16[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
16[ESP]   IPsec SA: only UDP encapsulation is supported
16[ESP] failed to create SAD entry
16[ESP]   IPsec SA: only UDP encapsulation is supported
16[ESP] failed to create SAD entry
16[IKE] unable to install inbound and outbound IPsec SA (SAD) in kernel
16[IKE] failed to establish CHILD_SA, keeping IKE_SA
16[ENC] generating IKE_AUTH response 5 [ AUTH CPRP(ADDR DNS DNS) N(AUTH_LFT) N(NO_PROP) ]

Это strongswan пишет, может в прохождении UDP пакетов проблемы?

Nat-traversal везде выключен, или везде включен?

На микротике выключен

на линуксе вроде и нет его?

Ipsec.conf точно как по ссылке сделал?

Я IKEV2 поставил

там ikev1

а ну удачи. С этим не помогу

Сейчас сделаю ikev1 посмотрим что убдет

не в udp а в esp проблемы, что странно

Есть подозрение, что strongswan скомпилирован без -enable-kernel-libipsec

@bonifazi спамер пробрался через капчу )