Вытащу сюда из комментов.
Сделано помоему крайне криво, но работает.
Из странностей, переодически пропадают ipsec policies, при этом remote peer и SA остаются.
"И так напомним еще раз. У нас на 1 стороне RRAS под Win Server 2012, белый IP, за RRAS есть локалка. На второй стороне Mikrotik RB951g-2hnd, ROS 6.27, белый IP, за ним есть локалка.
На стороне RRAS
В настройках фаерволла создаем тунель до микротика.
В консоли RRAS в интерфейсах создаем demand-dial соединение до Микротика, через l2tp. Добавляем сразу статический маршрут и в свойстах ставим галку persistent connection.
На стороне Микротика.
Добавляем pool
PPP создаем профиль, secrets.
Включаем L2TP сервер с IPsec. Делаем интерфейс. Вписываем в них созданные профиль и логин\пароль.
Добавляем в NAT правило add chain=srcnat dst-address=(локалка за RRAS) src-address=(локалка Микротик)
В IPsec добавляем proporsal c галками sha1 3des aes-128 cbc aes-256 cbc
Поднимаем соединение от RRAS до Микротик используя лог\пасс созданные на микротике.
В этот момент поднимается IPsec transport, но(не могу понять почему) соединение не происходит.
Тогда в ход идет костыль.
Создаем l2tp-out интерфейс на микротике. Кидаем с него соединение до RRAS, поднимается моментально.
После кидаем соединение с RRAS на микротик, все поднимается.
Добавляем маршрут в локалку за RRAS.
Пакеты из сетки в сетку ходят зашифрованными. Все работает.
Но, в случае если перезагружается одна из сторон. Каждый раз поправлять костыль... как то не очень.
Буду искать решение, в крайнем случае наверно можно повесить костыль на скрипт."