Юрий MikroTik

Обновление прошивки LTE модема всегда лотерея, напишите в техподдержку MikroTik, предоставят ссылку для отката прошивки

Только переход на h265 и урезание потока. Микротик тут может только приоритетами управлять в QoS

IKE2 решает эту проблему, либо переход на SSTP

1. Создать lo интерфейс
2. Сделать на него маршрут

Больше утечек не будет

На MikroTik нужно создать lo интерфейс и накинуть на него маршрут до сети регистратора
Так же в NAT исключить натирование до этой сети

Если у вас устройство с двойной загрузкой, всегда используйте RouterOS вместо SwOS
Так как SwOS ничего, кроме WEB интерфейса не поддерживает, к тому же в нем нельзя настроить даже адрес шлюза
SwOS годится только для простой плоской сети

На данный момент помогает переход на SSTP
В случае с филиальными VPN, настраивайте несколько типов туннелей и динамическую маршрутизацию, так если какой либо протокол заблокируют, трафик пойдет по запасному

Нужно смотреть сторону MikroTik и сам конфиг.
Подозреваю, что Tunnelblick как-то по другому работает с сертификатом.
Сертификат в конфиге присутствует?

Нужно прописать маршруты на всех трех участниках обмена.
Какие сети за клиентами А и В?

Есть модем HiLink, то выдает вида 192.168.8.1
Если ppp (стик) то на ppp интерфейсе появится IP адрес

Нужна именованная таблица маршрутизации, чтобы пакет уходил через тот интерфейс, откуда пришел.