IPSec + Mikrotik, почему не работает?

Вообще в Mikrotik ipsec лучше использовать в виде транспорта. А туннель организовать к примеру с помощью протокола GRE.

xx.xx.xx.xx белый ip первого офиса, yy.yy.yy.yy - второго, 192.168.1.x подсеть первого офиса, 192.168.87.x - второго
первый офис - ведущий маршрутизатор, второй - ведомый
транспортная подсеть - 192.168.222.x

***ТРАНСПОРТ***

на первом маршрутизаторе:

/interface pptp-server server set enabled=yes

создаём на этом сервере профиль и аккаунт:

/ppp profile add name=RemoteOffice only-one=yes use-compression=yes use-encryption=yes use-vj-compression=yes comment="Profile for RemoteOffice"

/ppp secret add name=RemoteOfficeLogin password=RemoteOfficePassword local-address=192.168.222.100 remote-address=192.168.222.200 service=pptp profile=RemoteOffice comment="PPTP for RemoteOffice"

для клиента хорошо бы создать "собственный PPTP сервер":

/interface pptp-server add name=RemoteOffice user=RemoteOfficeLogin comment="PPTP Server for RemoteOffice"

на файерволе первого маршрутизатора открываем нужные порты:

/ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500 comment="Allow for PPTP Server"

на мосту включаем proxy-arp:

/interface bridge set 0 arp=proxy-arp

на втором маршрутизаторе добавляем новый интерфейс для подключения к нашему первому маршрутизатору:

/interface pptp-client add name=RemoteOffice connect-to=xx.xx.xx.xx user=RemoteOfficeLogin password=RemoteOfficePassword allow=mschap2 disabled=no comment="PPTP to MainOffice"

всё, линк есть

***IPSEC***

на первом маршрутизаторе

/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.87.0/24 out-interface=RemoteOffice action=masquerade comment="Nat for RemoteOffice"

/ip ipsec proposal add name=prop_2 auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp1024

/ip ipsec policy add src-address=192.168.1.0/24 dst-address=192.168.87.0/24 action=encrypt tunnel=yes sa-src-address=192.168.222.100 sa-dst-address=192.168.222.200 proposal=prop_2 level=require comment="Policy for RemoteOffice"

/ip ipsec peer add auth-method=pre-shared-key policy-template-group=default exchange-mode=aggressive send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 generate-policy=port-override lifetime=1d dpd-interval=120 dpd-maximum-failures=5 address=192.168.222.200 port=500 secret="dJt2wkSvD582" comment="Peer for RemoteOffice"

на втором маршрутизаторе

/ip firewall nat add chain=srcnat src-address=192.168.87.0/24 dst-address=192.168.1.0/24 out-interface=RemoteOffice action=masquerade

/ip ipsec proposal add name=prop_2 auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp1024

/ip ipsec policy add src-address=192.168.87.0/24 dst-address=192.168.1.0/24 action=encrypt tunnel=yes sa-src-address=192.168.222.200 sa-dst-address=192.168.222.100 proposal=prop_2 level=require

/ip ipsec peer add auth-method=pre-shared-key policy-template-group=default exchange-mode=aggressive send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 generate-policy=port-override lifetime=1d dpd-interval=120 dpd-maximum-failures=5 address=192.168.222.100 port=500 secret="dJt2wkSvD582" comment="Peer for MainOffice"

всё, траффик зашифрован