Отсутствие трафика IPsec ESP (Encapsulating Security Payload) на вашем MikroTik, несмотря на то что VPN функционирует корректно, может быть обусловлено несколькими факторами:
1. **Шифрование и инкапсуляция:** В рамках работы протоколов IPsec и IKEv2 используется ряд механизмов шифрования и инкапсуляции данных. Трафик может быть заключён в UDP-пакеты на порту 500 (для IKE) и 4500 (для NAT-T). То есть, вместо того чтобы непосредственно видеть трафик ESP, вы видите трафик UDP, в который инкапсулирован в том числе и ESP-трафик. Таким образом, можно не увидеть пакет, который указывается как ESP, если использовать только правила для фильтрации IPsec.
2. **Обработка правил:** MikroTik может обрабатывать входящий и исходящий трафик в соответствии с определенными принципами. Возможно, ESP-пакеты проходят через другие правила фильтрации до того, как правило для IPsec-ESP успевает зафиксировать их. Это может привести к тому, что они не учтены в статистике вашего правила.
3. **NAT:** Если ваш сервер находится за NAT (Network Address Translation), трафик может быть инкапсулирован через UDP и передаваться на внешние адреса. В таком случае пакеты ESP не будут напрямую видны, пока не будет выполнен расшифровка входящих данных.
4. **Специфика настройки:** Если у вас в настройках установлены специальные параметры фаервола или если используется VPN-сервер в режиме, не использующем ESP (например, когда трафик туннелируется через UDP), это также может объяснять отсутствие пакетов.
5. **Мобильные устройства и клиенты:** Некоторые клиенты в зависимости от конфигурации могут устанавливать только несколько определенных соединений, и в этом случае основной трафик может идти через ненаблюдаемые каналы.
Чтобы лучше диагностировать ситуацию, вы можете попробовать следующее:
- Проверьте логи вашего MikroTik на наличие информации о IKE и связанных сессиях.
- Убедитесь, что у вас есть правильно настроенные правила фаервола для UDP-трафика на портах 500 и 4500.
- Используйте анализатор пакетов (например, Wireshark) для проверки сети на предмет наличия ESP-трафика на уровне IP.
Каждая из этих рекомендаций может помочь выяснить, почему вы не видите трафик ESP, даже если VPN работает корректно.