Клёвый Админ

С учётом динамики в адресах лучше всего юзать l2tp туннели.

Для начала поднимаете l2tp сервер, настраиваете секреты и транзитные адреса (это те, что будут использоватся для самих туннелей). Потом со стороны доп.офиса настраиваете l2tp-client и добавляете маршрут до сети Головного офиса через адрес, где шлюзом будет адрес Головного шлюза в туннеле. На головном офисе делаете наоборот, маршрут до сети филиала, где шлюз адрес филиала в туннеле.
Последний штрих - на обоих девайсах исключить такой трафик из NAT (если он случайно или специально там оказался).
Всё сеть построена. Пинги ходят.

Теперь шифрование. На головном поднимаете пир с адресом 0.0.0.0/0 ставите опцию для генерации политик. Правите дефолтный шаблон на вкладке с Политиками и вместо All в поле протокола меняете на udp и порт выставляете 1701 - это исключит шанс заблокировать центральный маршрутизатор случайной неправильной настройкой со стороны "допника" - опция для генерации политик она этим опасна. Пир и пропорсалы настраиваете на ваш вкус, главное тут симметрия - они должны у "головны" и "допа" совпадать.

Последнее для шифрования - создаём пир на Допе в IPSec и добавляем политики. Вид политики в вашем случае будет примерно такой
Src Address = SA Address = Public IP Доп офиса (который сейчас)
Dst Address = Sa Address = Public Static IP Головы.
Галочка туннеля не стоит.

Если всё зашифровалось и туннель l2tp устанавливается - остаётся только зарешать проблему с динамикой в политике IPSec у филлиала, так как адрес будет меняться её тоже нужно вовремя подменять.
Вот готовый скрипт - wiki.mikrotik.com/wiki/IPSec_Policy_Dynamic замените в скрипте find на номер конкретной политики (в вашем случае "0") и запускайте его с интервалом раз в минуту через планировщик. Думаю нужно его подебажить для начала на локальном девайсе, но в целом если админите такую сеть - разберётесь =)

Используй маркировку трафика и отдельную таблицу маршрутизации для хоста который у тебя проверочный, чтобы трафик исходящий гарантированно шёл через нужный интерфейс и не шёл через другие.

А почему не сделать просто проброс на адрес сервера за микротиком2, при условии что все маршруты построены (у вас похоже пересекающиеся IP сети) и трафик не заблокирован? Ну то есть маскарадинг достаточно делать в одном месте, дальше трафик вполне может ходить по вашей сете уже с той адресацией которую вы используете, нужно только правильно настроить это хождение.

Правильно я понял что всё зерно проблемы именно в пересекающихся IP сетях обоих офисов? Если это не решаемо - то да, прислушайтесь к Артёму. Только двойной нат.

Обаже ну и арфиграфия у тибя!

Просто подними туннель, например l2tp, направь в него траффик через роутинг, а на вкладке НАТ исключи такой трафик из маскарадинга (скорее всего, у тебя проблема именно тут).

Поставить тупой комп, купить на него лицензию Router OS x86 и мигрировать на него более чем легко.

Ваш 750-ты не справится с такой нагрузкой (достойно, без потери, так сказать, лица). У него в ТТХ указано 25-35 Mbps при 25 различных правилах.

Но если это слишком лёгкий сложный путь, то для начала апгред, на последнюю версию, потом профилинг, на предмет того, что же жрёт проц, потом устранение этого обжоры.

Да, реально. Сценарий годный, не самый оптимальный, но годный.

Проблемы будут с теми девайсами которые должны получать инет просто так (без всякой левой хотспотовской авторизации), камеры принтеры и тыды.

В общем случае всё будет работать так:
1. Для всех устройст микротик становится шлюзом по умолчанию
2. Всю сеть l2 замыкаете на него и пускаете трафик именно через микротик, если у вас все роутеры связаны медью - то микротик в тот же свич, если часть из них репитеры \ ретрансляторы, то тик подключаете к основному, остальные без изменений.
3. На тике настраиваем Хотспот, тюним его и тыды.
4. Выделяем группу устройств - даём им интернет. Если Asus поддерживает VLAN и несколько SSID - то лучше для организовать вторую сеть - закрытую с блекджеком и шлю усиленной авторизацией но без hotspot.

Самый верный способ - заворачивать https\http трафик на соседнюю прокси (например Kerio Orange Web Filter или PfSense + Squid), и там блокировать по каталогам блек листов \ ДНС. А весь остальной трафик обрабатывать l7 фильтрами и файрволом.

Если OpenVPN не подходит то любой тип PPP или GRE туннеля + IPSec в транспортном режиме.

Например L2TP + IPSec.

Итак, поднимать вам нужно в транспортном, настройки будут такие
1. На обоих концах в пирах указываете белые внешние адреса противоположной стороны.
2. В полисях не туннельный режим, где у каждой стороны они выглядят так
/ip ipsec policy src-address=WHITE_IP_1/32 src-port=any dst-address=WHITE_IP_2/32
dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=no sa-src-address=WHITE_IP_1
sa-dst-address=WHITE_IP_2 proposal=tunnel priority=1
и наоборот. Пропорсалы и пиры настраиваете просто симметрично, там ничего особенного.
Если всё правильно, то у вас продолжает работать IPIP туннель, а потом он просто становится шифрованным.

Т.е. ошибка у вас именно в полисях. Там вы сейчас внутри туннеля шифруете, а нужно снаружи.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" RequireSecureNegotiate -Value 0 -Force

или проще - поменяйте ключ в реестре на 0

какие цифры показывает btest? Кросс VLAN \ Интер VLAN?
Настройки VLAN производили через меню switch или через интерфейсы и бриджы? Если последнее - приходите на светлую сторону аппаратную коммутацию. Если первое - нужен btest.

Ух, много написали, потому я мельком только глянул.

Итак, если вам нужно соеденить два офиса, чтобы трафф из сети 192.168.1.Х/24 ходил в сеть 192.168.2.Х/24 то в принципе L2TP туннель вам в этом случае не требуется, достаточно создать туннель на уровне IPSec (что вы кстати и делаете у себя в настройках), никаких маршрутов и политик в этом случае не нужно. IPSec в туннельном режиме сам создаст прозрачный для ROS туннель и будет заворачивать в него трафик.

Порядок действий такой:
1. Создаём на каждом МК IPSec Peer, где адрес пира - удалённый офис, с разрешением добавлять политики трафика.
2. Создаём на каждом МК IPSec политики, где сеть отправления - локальная сеть; сеть назначения - удалённая сеть; пир отправления - внешний адрес этого МК; пир назначения - удалённый белый адрес пира, тот же что настроен в соседней вкладке.
3. В правилах NAT делаем Аццес правило для трафика туда сюда между этими сетями.

В роутинг листе должно быть пусто. Если появятся строчки обмена ключами - всё заработало.
Всё что нужно, но наглядно в статье Site to Site IpSec Tunnel

Решение с маршрутизатором хорошее. Пробится за НАТ у злоумышленника в этом случае не выйдет, но это решение ничуть не хуже включенного Firewall. Чем последний вас пугает или настораживает?

Полную защиту от взлома вы получите если поставите параноидальный антивирус на подобии Касперского, отключите все USB устройства, звуковую и сетевую карту, отключите монитор, сидиром и клавиатуру - вот тогда да - "защита что надо"!

принт настроек сертификатов приложите. Похоже закрытого ключа нет.

Вам же не MTU, а MSS нужно поменять
chain=forward action=change-mss new-mss=1452 tcp-flags=syn,!rst in-interface=all-ppp protocol=tcp tcp-mss=1453-65535
chain=forward action=change-mss new-mss=1452 tcp-flags=syn,!rst out-interface=all-ppp protocol=tcp tcp-mss=1453-65535

wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle

Флаги означают следующее: K - decrypted-private-key, Q - private-key, R - rsa, D - dsa
Отсутсвие флага R говорит о проблемах вот в этой команде
openssl genrsa -des3 -out client.key 4096
Однако, наличие ключа K говорит о том что всё ок. Проверьте сертики через винбокс. Возможно всё у вас хорошо.

Такс, я не очень понял ту часть где вы описываете ваши настройки туннеля, но если всё правильно и на том конце вам доступна сеть и PC в ней, то всё что вам нужно это создать второй маршрут до сети вашего офиса с указанием в качестве шлюза адрес туннеля со стороны удалённого офиса. Присвоить маршруту метрику выше чем у текущего правила маршрутизирующего этот трафик. При падении канала трафик пойдёт в офис автоматически (если упал линк) или можно создать NetWatch исполнителя, запускающий скрипт смены метрики при появлении \ пропадании сети.

Никакого переключения проводов в этом случае не нужно, ровно как и маскарадинга.

Итого если на пальцах:
Есть два интернет канала 1 - основной и в нём есть сеть офиса 2 - резервный и через него поднят PPTP туннель.
Нужно создать маршрут до PPTP сервера через шлюз второго провайдера, создать маршрут до сети офиса через шлюз первого провайдера (метрика, скажем, 10), создать маршрут до сети офиса через туннель - шлюз адрес сервера туннеля (метрика, скажем, 20). При падении канала меняем метрики местами, следим чтобы туннель установился только через второй канал иначе не очень это правильно =)

Если так страничка, на которой что-то нужно делать, не слишком сложная - то переделываем её под login.html подставляем в код переменные из документации микротика и авторизуем прямо с неё.

Тип авторизации можно уже использовать любой.