Версия микротика? IKEv2 там не так давно стало поддерживаться.
Еще вопрос - в политике dst-address указан 0.0.0.0/0 намеренно? Чтобы шифровались все пакеты, вышедшие из 192.168.3.1? И почему в src-address только один IP? при обьединении офисов обычно используют соединение "сеть-сеть".
Вот у меня политика для подключения домашней сети (рассчитана на микротик-микротик, но не суть):
/ip ipsec policy
add dst-address=10.54.200.0/24 proposal=proposal1 sa-dst-address=1.2.3.4 sa-src-address=1.3.4.5 src-address=10.87.1.0/24 tunnel=yes
/ip ipsec proposal
add auth-algorithms=null enc-algorithms=aes-256-gcm lifetime=1h name=proposal1
/ip ipsec peer
add address=1.2.3.4/32 auth-method=rsa-signature certificate="RB1100AHx2 DeltaHW cert with key" dpd-interval=disable-dpd enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=2h nat-traversal=no proposal-check=strict remote-certificate="RB450G DeltaHW cert"
Никаких отдельных роутов для сети 10.54.200.0/24 я не добавлял - незачем!
