/ip firewall nat
add chain=srcnat comment="Does not touch IPSec ESP packets to avoid break packets checksum" \
ipsec-policy=out,ipsec out-interface=ether6/ip ipsec policy
add comment="To main VPN" dst-address=10.54.100.0/24 proposal=proposal1 sa-dst-address=\
х.х.х.х sa-src-address=y.y.y.y src-address=10.54.200.0/24 tunnel=yes
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256
add auth-algorithms="" enc-algorithms=aes-256-gcm lifetime=1h name=proposal1
/ip ipsec peer
add address=x.x.x.x/32 auth-method=rsa-signature certificate=\
"SHA256 IPSec cert with key" comment="To main VPN" dpd-interval=\
disable-dpd enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=2h nat-traversal=no \
proposal-check=strict remote-certificate="SHA256-1 IPSec cert"он перегенерировал сертификат и продлил его для старых доменов заодно?
А вот и нифигашечки. Установление соединения - это протокол IKE, работающий по порту 500 (4500 для NAT-T). А собственно соединение - это протокол ESP, никак с IKE не связанный. Поэтому IKE может работать, а вот самого соединения не быть.
Правило это должно идти первым! По крайней мере ДО маскарада - в этом его смысл - исключить пакеты IPSec из маскарадинга - он не нужен.