CityCat4

Микротик, это елки-палки роутер :) У него сколько интерфейсов столько и "сетевых карт" (если представить себе микротик, как обычный комп, набитый сетевыми картами).
У Вас должно быть:
- реквизиты подключения к Провайдеру1
- реквизиты подключения к Провайдеру2
- подсетка, выданная Провайдером2

Допустим, ether1 - Провайдер1, ether2 - Провайдер2. Тогда группируем допустим ether3 - ether5 - и говорим "это у нас белая подсетка", bridge1. А также ether6 - ether10 - "это у нас локалка", bridge2
Настраиваем адреса:
- на ether1 - по реквизитам Провайдера1
- на ether2 - по реквизитам Провайдера2
- на bridge1 - любой из подсетки, маску должен дать провайдер. Этот адрес будет default gateway для серверов!
- на bridge2 - локалку

Натим все, что пришло с bridge2, с bridge1 не натим. Маршруты прописываем как считаем нужным, если должны работать одновременно оба - раскидываем трафик метками, если второй резервный - через distance, трафик идет через маршрут с меньшей distance.

Гуглить "микротик два провайдера"

Странный вопрос.
Если это Ваш микротик - у Вас конечно же есть бэкап :) и вовсе незачем чего-то там смотреть - разве только уточнить, как был сделан взлом - так наверное банально логин админа подобрали.
Если микротик взломали Вы - у Вас тоже есть логин и пароль, вовсе не надо куда-то смотреть.

Если же вы просто "мимо крокодилили" при взломе - то увы, никак :)

/ip firewall nat
add action=dst-nat chain=dstnat comment="Allow any to our webserver" dst-address=1.2.3.4 dst-port=\
    80,443 in-interface=ether1 protocol=tcp to-addresses=10.4.1.1

Вот как-то так.
Читается так - "если пакет пришел на IP 1.2.3.4, на порт 80 или 443 через интерфейс ether1, то пробросить его на адрес 10.4.1.1 на тот же порт"

Нужен режим суммирования траффика с двух провайдеров

"Не бывает" (С) Чародеи

Два провайдера - это две разные трубы. В них можно лить с сортировкой трафика (http - туда, smtp - сюда), можно лить с делением по частям (далеко не всегда, но например, торрент умеет типа блоки с 1 по 100 отсюда, блоки с 101 по 200 - оттуда).
Но обьединить две разные трубы в одну не можно От слова совсем. И провайдеры это тоже прекрасно знают :)

Идея состоит в чем:
- Трафик DNS должен ходить через туннель. Вообще весь - потому что простейший способ блокировки - перехват DNS и подмена данных на заглушку прова. Поэтому весь DNS нужно направить в туннель, а еще лучше поднять DNS для своей сети прям на микротике (а данные чтобы он забирал для себя с туннеля)

Первое, что приходит на ум - DPD. Если DPD включен, нужно чтобы керио его правильно ловил а не опускал соединение по неактивности (этим грешит racoon)
второе - при истечении таймаута на 75% заново проводится фаза2, возникает новое SPI, устройства начинают путаться в том, какую SPI использовать и так продолжается до тех пор, пока старая SPI не сдохнет (а это как раз 7 - 10 минут может занять).

Что можно сделать - посмотреть таймауты по фазам и политику их назначения и если можно забрать на микротики их назначение, может быть прибавить времени, отключить dpd (разумеется это все при наличии возможности это сделать - а то может быть там фиксированный набор настроек)

Без бампинга https этот вопрос все равно не решится, потому как и пикабу и социалочки давно уже там.

Политика горит красным потому что нет соответствующих настроек Peer и Identity, либо они неверные/неприменимые.
Вот такой proposal я использую для одной немного больной на голову конторы:

/ip ipsec proposal
add auth-algorithms=sha256,sha1,md5 enc-algorithms=\
    aes-256-cbc,aes-256-gcm,aes-192-cbc,aes-192-gcm,aes-128-cbc,aes-128-gcm lifetime=1h

Смысл в том, чтобы дать той стороне выбрать и посмотреть, что она выбрала. "Там" у меня циска, и она выбирает auth sha1 и шифронабор aes256-cbc
А вообще в таких случаях включается лог. Ну и кроме того, уберите пассивку, пусть микротик сам подолбится и посмотрите на ошибки.

Йоу, я тут недавно нашел шикарную статью про организацию работы двух каналов на микротике.

В бридж нельзя два порта с разными IP. Если IP разные - только роутинг.

Для избирательной маркировки пакетов. Чтобы потом не писать вязанку однотипных правил в filter, а сделать все одним.

Хм. С таким дебильным поведением сталкивался когда работал с racoon. Ради этого пришлось в nagios вкорячить "сервис", который постоянно пинал узлы, причем было именно так, как описано - туннель подымался только при пинге с одной стороны :D

Может быть таймауты какие-нибудь или аналоги IPSec-овского dead peer detection?

Ну too busy как бы намекает, что ддосят. Если невозможно определить диапазон IP, с которых ходят "честные" юзеры, то можно попробовать сменить порт, на котором слушает openvpn

В IPSec вместо маршрутов - политики. Написать политику, что пакеты для сети такой-то нужно шифровать и отправлять на гейт такой-то, на гейте они расшифруются и пойдут по локальной таблице маршрутов, если в ней есть указание, куда этот пакет сувать - туда и засунут.

Не можно. Пакет в локалку не попадет на микротик, он будет перепправлен непосредственно свитчом. Проще всего будет сделать, переключив нужное устройство (ва) на микротик, или, если их много - поставив еще один коммутатор, в котором собрать их всех и там уже просто правилами файрволла разрулить.

BGP

AS-ка берется в аренду у крупняка, Ваш провайдер, если достаточно толст (любой из них) запросто и аренду даст и настроить поможет. Но, в зависимости от модели микротика и от Вашего решения по fullview - возможно придется менять микротик на более производительную модель.

Купить ASку можно, но посложнее будет.

С аппаратным шифрованием. rb4011 например. rb2011 мало того, что он уже стар - все-таки модель 2015 года, так еще он и при двух используемых IPSec -туннелях загрузку ниже 30% не опускает в принципе. Прокси на микротике примитивный, что и не удивительно - где-ему развернуться-то? Роутеру - роутерово. Основная загрузка - маршрутизация и шифрование.
JFYI: rb1100ahx2 (тоже уже старая модель) на тех же двух IPSec-туннелях выше 4% загрузки не показывает.

И теперь PPTP тоже не работает

Скорее всего, провайдер А пиZDит как Троцкий. PPTP блокируют очень часто, по совершенно непонятным мне причинам. Ну, опсосы понятно почему. А вот почему так делают обычные проводные провайдеры?

Есть два варианта:
openvpn
ipsec

Есть еще просто IP-IP туннель

Роутинга в IPSec нет, его заменяют политики. Как напишете политики, так и будет ходить трафик. Но политика не может включать гейт, потому что через него передаются пакеты, поэтому писать ее придется для каждого IP в отдельности. Хотите избежать такого огорода - используйте RFC1918-адреса для серверов за гейтом.

Могу ли я удвоить максимальную скорость доступа к интернет в каждом офисе, если подниму GRE туннель

Это и гуглится на раз и здесь вопросов про это было десятки. Невозможно сделать из двух узких дырочек - одну широкую. Все, что можно добиться - это либо разбросать сервисы по каналам (http - туда, smtp - сюда), либо (для тех кто так умеет) - добиться скачки части через один канал, части через другой. Так насколько я знаю, только торренты умеют.
К тому же схема маршрутизации выйдет замороченная. Нужно будет метить на первом микротике трафик, который должен уйти в туннель, причем ответы тоже метить придется на втором, потому что приходить они будут на второй.