На практике не встречал, но вспомнил, что было в мануале что-то на этот счет. Вот:
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Kno...
И ранее в мануале есть такое, как вариант избежать этой проблемы:
"While it is possible to adjust IPsec policy template to only allow road warrior clients to generate policies to network configured by split-include parameter, this can cause compatibility issues with different vendor implementations (see known limitations). Instead of adjusting the policy template, allow access to secured network in IP/Firewall/Filter and drop everything else.
/ip firewall filter
add action=drop chain=forward src-address=192.168.77.0/24 dst-address=!10.5.8.0/24