С учётом динамики в адресах лучше всего юзать l2tp туннели.
Для начала поднимаете l2tp сервер, настраиваете секреты и транзитные адреса (это те, что будут использоватся для самих туннелей). Потом со стороны доп.офиса настраиваете l2tp-client и добавляете маршрут до сети Головного офиса через адрес, где шлюзом будет адрес Головного шлюза в туннеле. На головном офисе делаете наоборот, маршрут до сети филиала, где шлюз адрес филиала в туннеле.
Последний штрих - на обоих девайсах исключить такой трафик из NAT (если он случайно или специально там оказался).
Всё сеть построена. Пинги ходят.
Теперь шифрование. На головном поднимаете пир с адресом 0.0.0.0/0 ставите опцию для генерации политик. Правите дефолтный шаблон на вкладке с Политиками и вместо All в поле протокола меняете на udp и порт выставляете 1701 - это исключит шанс заблокировать центральный маршрутизатор случайной неправильной настройкой со стороны "допника" - опция для генерации политик она этим опасна. Пир и пропорсалы настраиваете на ваш вкус, главное тут симметрия - они должны у "головны" и "допа" совпадать.
Последнее для шифрования - создаём пир на Допе в IPSec и добавляем политики. Вид политики в вашем случае будет примерно такой
Src Address = SA Address = Public IP Доп офиса (который сейчас)
Dst Address = Sa Address = Public Static IP Головы.
Галочка туннеля не стоит.
Если всё зашифровалось и туннель l2tp устанавливается - остаётся только зарешать проблему с динамикой в политике IPSec у филлиала, так как адрес будет меняться её тоже нужно вовремя подменять.
Вот готовый скрипт -
wiki.mikrotik.com/wiki/IPSec_Policy_Dynamic замените в скрипте find на номер конкретной политики (в вашем случае "0") и запускайте его с интервалом раз в минуту через планировщик. Думаю нужно его подебажить для начала на локальном девайсе, но в целом если админите такую сеть - разберётесь =)
