azure - 带有 mikrotik 的 Azure 站点到站点：缺少有效负载：ID_R

Question

我正在尝试使用 Mikrotik (RouterOS 6.43.10) 在 Azure 虚拟网络网关和本地站点之间建立站点到站点连接。

我遵循了各种配置手册：

• https://blogs.technet.microsoft.com/netgeeks/2017/07/11/creating-a-site-to-site-vpn-ipsec-ikev2-with-azure-and-mikrotik-routeros/
• https://github.com/Azure/Azure-vpn-config-samples/blob/bdc2939a90210a7aa8957f49a40eb0e8312530aa/MikroTik/Current/Site-to-Site_VPN_using_MikroTik_RouterOS.md
• http://www.dataone.nz/?p=561

根据 ipsec 日志，所有这些都因缺少错误有效负载而失败： ID_R。

有任何想法吗？

Answer 1

我刚刚通过第三方供应商为客户设置 Azure 站点到站点 VPN 时遇到了同样的问题。没有从他们那里得到任何真正的支持，我最终创建了一个 Azure 测试环境并找到了解决方案……一直在第三方工程师面前：需要启用“使用基于策略的流量选择器”。

问题是 Mikrotik 路由器当前不支持 VTI，需要交换基于策略的流量选择器（TS_R、TS_I）才能选择要使用的 IPSEC 策略。

Azure 虚拟网络网关连接默认禁用“使用基于策略的流量选择器”设置。您需要做的就是启用此设置，Azure 将发送正确的 IKEv2 有效负载，您的连接将立即建立。

Answer 2

根据 RFC 4306，可选的有效负载 IDr 使发起者能够指定它想要与哪个响应者的身份进行交谈。当运行响应程序的机器在同一个 IP 地址托管多个身份时，这很有用。

你的设备需要 IDr，但 Azure 网关未发送它。您能否检查是否可以禁用需要 IDr 有效负载的功能？