hosco

Если вам хочется изучить Python и вы не имеете определенного опыта в программировании вообще, то не поленитесь и начните с Пол Бэрри - Head First - Изучаем программирование ....

По моему личному опыту, именно эта книга принесла больше пользы начинающим. Книги Лутца, хоть они и отличные, но тем, кто пока не знает азов, они не совсем как бы пригодные, так как повествование в них ведется с намеком на то, что читатель понимает о чем речь и новичкам обычно очень трудно абстрактно представлять смысл текста в книгах Лутца (не говоря о том, что формально десятки страниц введения могут ввести в заблуждение новичков и создать неверные ассоциации в понимании программирования вообще).

Что же касается упомянутой выше книги, то ее интересно читать и параллельно выполнять задания. Эта книга оказалась очень эффективной для тех, кому я в свое время посоветовал начинать именно с нее, так как повестование в ней изложено в очень доступной форме и отсутствуют "уходы" от темы. Очень советую. Тем более, что на просторах интернета можно найти качественную электронную версию.

Если у вас только два офиса и в каждом только один провайдер, можно и IPSec в туннельном режиме.
Но я бы делал GRE-туннель с заворачиванием трафика в IPSec. Бонусы - прозрачная маршрутизация в одной таблице (в политики можно не смотреть), возможность подключения динамической маршрутизации, возможность построения отказоустойчивой структуры.
Например, если у вас в одном из офисов два провайдера, у вас будет два туннеля. Если один из провайдеров сломается, протокол динамической маршрутизации направит трафик в резервный туннель. В результате у вас будет отказоустойчивый канал между офисами с практически незаметным переключением при отказе.
На чистых туннелях IPSec такое сделать непросто, если вообще возможно.
А если у вас будет три офиса, это вообще маст хэв :)

Вот пример конфига.

router 1:
---создаем GRE-туннель
/interface gre
add !keepalive local-address=***router 1 WAN IP*** name=gre1 remote-address=***router 2 WAN IP***

--- и ip-адрес к нему
/ip address
add address=10.10.10.1/30 interface=gre1 network=10.10.10.0/30

---(политика согласования IKE у меня сделана на сертификатах, у вас может быть на pre-shared key - это каждый выбирает для себя; главное, чтобы с обеих сторон было одинаково)
/ip ipsec peer
add address=***router 2 WAN IP***/32 auth-method=rsa-signature certificate=cert-vpn dh-group=modp768 dpd-interval=10s dpd-maximum-failures=3 enc-algorithm=aes-256 \
local-address=***router 1 WAN IP*** nat-traversal=no passive=yes remote-certificate=cert-endpoint

--- политика шифрования трафика GRE от нас в удаленный офис
/ip ipsec policy
set 0 disabled=yes
add dst-address=***router 2 WAN IP***/32 level=unique proposal=***ваша политика шифрования*** protocol=gre sa-dst-address=***router 2 WAN IP*** sa-src-address=***router 1 WAN IP*** src-address=\
***router 1 WAN IP***/32

--- и прописываем статический маршрут в удаленную сеть
/ip route add distance=1 dst-address=***подсеть второго офиса*** gateway=10.10.10.2

---Еще может понадобиться сделать правило firewall для обмена трафиком GRE между офисами:
/ip firewall filter
add chain=input comment="GRE from other office" dst-address=***router 1 WAN IP*** src-address=***router 2 WAN IP*** protocol=gre

router 2 - настройки отображаются зеркально:

/interface gre
add !keepalive local-address=***router 2 WAN IP*** name=gre1 remote-address=***router 1 WAN IP***

/ip address
add address=10.10.10.2/30 interface=gre1 network=10.10.10.0/30

/ip ipsec peer
add address=***router 1 WAN IP***/32 auth-method=rsa-signature certificate=cert-vpn dh-group=modp768 dpd-interval=10s dpd-maximum-failures=3 enc-algorithm=aes-256 \
local-address=***router 2 WAN IP*** nat-traversal=no passive=yes remote-certificate=cert-endpoint

/ip ipsec policy
set 0 disabled=yes
add dst-address=***router 1 WAN IP***/32 level=unique proposal=***ваша политика шифрования*** protocol=gre sa-dst-address=***router 1 WAN IP*** sa-src-address=***router 2 WAN IP*** src-address=\
***router 2 WAN IP***/32

/ip route add distance=1 dst-address=***подсеть первого офиса*** gateway=10.10.10.1

/ip firewall filter
add chain=input comment="GRE from other office" dst-address=***router 2 WAN IP*** src-address=***router 1 WAN IP*** protocol=gre

Был похожий случай, служба DNS оказалась открыта извне и ее активно использовали.
Вычислил с помощью /tool torch и /tool profile. Закрыл 53 порт на внешнем интерфейсе и все стало нормально.

ip firewall filter add chain=input dst-address=1.2.3.4 protocol=udp dst-port=53 action=drop