Debian9+strongswan+xl2tpd - не подключается L2TP

«Аналогичная проблема. Я настроил strongswan+xl2tpd но оно не работает, помогите.
ЗЫ Системный блок белого цвет.»

Важно использовать именно Debian 9? Есть простой и удобный вариант того, как можно развернуть это дело в пару кликов мышью и несколько нажатий клавиш.

Нужен дистрибутив Ubuntu 14.04, а на него установить все это дело простым скриптом, у которого есть даже веб интерфейс — InstaVPN.

понял, конфиги выложу))

Клево! Решение просто супер!
«Парни у вас не работает клиент vpn A с сервером B(?)?
Срочно сносим к люлям вашу систему и ставим другую.
Спросите: А что же будет со всем остальным что у меня работало в старой системе?
Отвечаем: Да-а, пофиг! Главное же клиент vpn A с сервером B(?) работать будет!... может быть... да и вообще вы же не уточнили конкретно версию B(?).»

вот конфиги. ipsec устанавливается, l2tp стопорится на первом пакете. Что не так?

а что по l2tp скажете? есть мысли почему коннект не идет дальше? Не хватает чего-то?

По идее l2tp не нужно если можно трафик пустить по ipsec, но немного туплю, интерфейса то нет отдельного, маршрутизацию как делать? а клиент за NAT сидит...

Я бы начал последовательно.
1. ipsec точно устанавливается? ipsec status что говорит?
вот здесь right = mikrotik я надеюсь что-то другое написано.
2. Микротиков не знаю. Вы уверены что ikev1 ? Тоже относиться и к наборам ike и esp.
3. require-mschap-v2 - туда же к пункту два, уверены что на микротике оно?
4. autodial = yes или через echo «c connname» >/var/run/xl2tpd/l2tp-control, «d connname» >/var/run/xl2tpd/l2tp-control - это уже вкусняшки, кому как удобнее.
5. Если ожидаете defroute, то вас ждут еще другие «приключения» в виде роутинга. Собственно как и в других аналогичных случаях с тунелями.
Добавить роут до сервера впн
Запустить впн
Разобраться в новым defroute через тунель

По идее l2tp не нужно если можно трафик пустить по ipsec, но немного туплю, интерфейса то нет отдельного, маршрутизацию как делать? а клиент за NAT сидит...

Сходу даже не знаю как вам и ответить. Задачу чуть больше разверните. Что под фразой «маршрутизацию как делать» подразумевается?
И говорят у strongswan есть userspace реализация (врядли брешут, на openvz пользуют). Но сам не пробовал.

ЗЫ Еще вот здесь leftprotoport = 17/1701 могут быть подводные камни заменить на leftprotoport = 17/%any и у xl2tp порт поменять port = random_port
Но это для случая кучи соединений. Сферически если другого ничего в части ipsec, l2tp нет - то не нужно.

1.

vpn[34]: ESTABLISHED 31 seconds ago, внутреннийipклиента[внутреннийipклиента]...ip_mikrotik[ip_mikrotik]
     vpn{67}:  INSTALLED, TRANSPORT, reqid 34, ESP in UDP SPIs: c7c7ede0_i 0e68ded8_o
     vpn{67}:   внутреннийipклиента/32[udp/l2f] === ip_mikrotik/32[udp/l2f]
     vpn{68}:  INSTALLED, TRANSPORT, reqid 34, ESP in UDP SPIs: c5c1f50b_i 0c0e715d_o
     vpn{68}:   внутреннийipклиента/32[udp/l2f] === ip_mikrotik/32[udp/l2f]

/etc/xl2tdp/l2tp-secrets

добавил строку * ip_mikrotik preshared_key

мне нужно попасть в сеть за mikrotik. Через ipsec в теории это возможно сделать. Но кто шлюз тут? Роутер у клиента, или сам mikrotik? Если бы был интерфейс с L2TP - такую маршрутизация я настраивал много раз. А так пока не очень понятно как проложить маршрут.

Тогда курите логи от xl2tp+ppp почему он не хочет подниматься, сходу вроде все правильно у вас.

Тут немного «по другому» относительно традиционного понимания. ip xfrm - далее ключики.
ikev1 умеет только одну подсеть. В v2 плюшек больше, можно даже отдельные порты прописывать, например 192.168.0.7[tcp/22] - но это так, я про вариант в одну сторону.
А если говорить про обьеденения сетей когда одна из них за натом, не пробовал.