Ух, много написали, потому я мельком только глянул.
Итак, если вам нужно соеденить два офиса, чтобы трафф из сети 192.168.1.Х/24 ходил в сеть 192.168.2.Х/24 то в принципе L2TP туннель вам в этом случае не требуется, достаточно создать туннель на уровне IPSec (что вы кстати и делаете у себя в настройках), никаких маршрутов и политик в этом случае не нужно. IPSec в туннельном режиме сам создаст прозрачный для ROS туннель и будет заворачивать в него трафик.
Порядок действий такой:
1. Создаём на каждом МК IPSec Peer, где адрес пира - удалённый офис, с разрешением добавлять политики трафика.
2. Создаём на каждом МК IPSec политики, где сеть отправления - локальная сеть; сеть назначения - удалённая сеть; пир отправления - внешний адрес этого МК; пир назначения - удалённый белый адрес пира, тот же что настроен в соседней вкладке.
3. В правилах NAT делаем Аццес правило для трафика туда сюда между этими сетями.
В роутинг листе должно быть пусто. Если появятся строчки обмена ключами - всё заработало.
Всё что нужно, но наглядно в статье
Site to Site IpSec Tunnel