Андрей

Доброго времени суток. Встала передо мной аналогичная задача и погуглив у меня всё получилось.
Работает без тормозов.
По сути, я банально консолидирую множественные решения в своём ответе.

Дано: mikrotik + squid с одной сетевой картой.

В микротик добавил правила:

/ip firewall mangle

chain=prerouting action=mark-routing new-routing-mark=SQUID passthrough=yes protocol=tcp 
      src-address=!192.168.адрес.проки dst-port=80 log=no log-prefix=""

и

/ip route
add comment=FOR_SQUID_TEST distance=1 gateway=192.168.адрес.проки routing-mark=SQUID

Далее на убунте был установлен сквид.
его конфиг практически пустой конфиг, т.к. нет нужды ничего ограничивать:

http_port 3128 intercept
acl mylocalnet src all
http_access allow mylocalnet

так же в файле /etc/sysctl.conf разрешил пересылку пакетов:
net.ipv4.ip_forward = 1

и добавил правило в фаервол

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 j DNAT --to 192.168.адрес.прокси:3128

Чудо!!! Чудо из чудес произошло!

Отчаившись и практически сев за написание статических маршрутов, я попробовал поиграться с прошивками.

И после перебора версий, всё заработало на такой связке:

Сервер - 6.39rc20
Клиент - 6.37.4 bugfix only

Всё динамически. Всё шифруется. Ура!

Спасибо всем, кто откликнулся! Благодаря Вам, я был уверен, что делаю всё правильно!

Друзья, всем кто ищет ответ на этот вопрос, спешу поделиться вариантом избавления от этих строк в логах.

Я на тестовых девайсах, с последней прошивкой 6.38.1 и с дефолтной конфигурацией собрал схему.
L2TP сервер - клиент, поставил галочку использовать IPSEC, все политики создаются динамически, всё в таком режиме работает отлично!
При дисконнекте лог чист.

НО! Как только я создал динамическую маршрутизацию - пропало шифрование :(
SA не устанавливаются.

Может кто сталкивался с такой бедой?

Вот конфиг сервера и клиента. На клиентах конфиги идентичные.

Я начал без конфигов, думая что это из-за пинга...

[qwe@server] > /interface sstp-server server print
                    enabled: yes
                       port: 443
                    max-mtu: 1500
                    max-mru: 1500
                       mrru: disabled
          keepalive-timeout: 10
            default-profile: SSTP-profile
             authentication: mschap2
                certificate: P_E
  verify-client-certificate: yes
                  force-aes: no
                        pfs: no
[qwe@server] > 

[qwe@client] > /interface sstp-client print  
Flags: X - disabled, R - running 
  0  R name="sstp_TA" max-mtu=1500 max-mru=1500 mrru=1600 connect-to=211.111.111.111:443 http-proxy=0.0.0.0:443 certificate=ca.crt_0 verify-server-certificate=yes verify-server-address-from-certificate=no user="B111" password="12345" 
      profile=default keepalive-timeout=60 add-default-route=no dial-on-demand=no authentication=mschap2 pfs=no tls-version=any 
[qwe@client] >