Чем обусловлен такой "специфический" выбор пары ip адресов? Вы понимаете, что возможно множество граблей?
Маршрут к ppp узлу у вас есть, иначе у вас бы не работало ничего, обратный трафик бы не дошел.
Сейчас нет возможности проверить ivms, но мне кажется вы путаете сканирование и подключение. Сканирование, оно же поиск камер, выполняется в l2 домене, но вы можете подключить камеру "вручную".
Что-то мне даже подсказывает, что если у вас в ipsec нет какого-то ещё туннеля или nat, то у вас ничего не ipsec'чится кроме собственного трафика mikrotik, как раз тех самых пингов.
Нарисуйте схему и приложите роутинг. ipsec политика до 0.0.0.0/0 странная, хотя может быть это я чего-то не понимаю, мне всегда казалось, что целевой адрес политики это место где разинкапсуляция ipsec происходит. У вас по идее по эту политу и ответы на пинг должны подпадать.
Deterrent, как я указал, зависит от того, какие у вас роутеры и что они умеют. На mikrotik я знаю как это сделать, но тоже с некоторыми оговорками.
Самый правильный вариант это vpn или remote desktop gateway.
rPman, у вас на "третьем уровне" есть маршрут. Пакет будет отправлен в соответствии с этим маршрутом. Учитывая, что ip с которого прилетел запрос будет интернетовским, то будет использован маршрут по умолчанию. Маршрут по умолчанию у вас указывает на условный первый роутер, даже если запрос пришел через второй. Несколько ip в одной подсети и несколько маршрутов это разные кейсы.
ИМХО не будет работать. Машина в любом случае будет использовать свою таблицу маршрутизации при ответе на запрос, т.е. будет отвечать туда куда указывает 0.0.0.0/0 маршрут.