Кирилл Васильев

чудес не бывает, показывайте конфу

по всей видимости в свойствах pptp соединения у вас стоит галочка "add default route"

сделайте шаблоны полиси и не партесь,
на микротике где белый IP, ставите адрес пира 0.0.0.0/0, пассивный режим, включаете НАТ-Т, и включаете генерацию политик.
с другой стороны прописываете все необходимые политики, используя свой локальный адрес, и это политики с генерируются на серверной части

быстренько поднял лабу, завелось с пол оборота, как пример вам
Public IP

/ip ipsec policy group
add name=gre
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=Pr-aes128
add enc-algorithms=null name=Pr-Null pfs-group=none
/ip ipsec peer
add address=0.0.0.0/0 generate-policy=port-strict local-address=1.1.1.2 passive=yes policy-template-group=gre secret=12345!
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 group=gre proposal=Pr-Null src-address=192.168.254.0/24 template=yes
add dst-address=0.0.0.0/0 group=gre proposal=Pr-aes128 src-address=192.168.255.0/24 template=yes

Private IP

/ip ipsec policy group
add name=gre
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=Pr-aes128
add enc-algorithms=null name=Pr-Null pfs-group=none
/ip ipsec peer
add address=1.1.1.2/32 local-address=10.10.10.2 policy-template-group=gre secret=12345!
/ip ipsec policy
add dst-address=192.168.254.1/32 level=unique proposal=Pr-Null sa-dst-address=1.1.1.2 sa-src-address=10.10.10.2  src-address=192.168.254.2/32 tunnel=yes
add dst-address=192.168.255.1/32 level=unique proposal=Pr-aes128 sa-dst-address=1.1.1.2 sa-src-address=10.10.10.2 src-address=192.168.255.2/32 tunnel=yes

Добрый день,
Если вопрос в шифровании не стоит то в ядро можно поставить MikroTik 1100AHx2 если нужно шифрование то начинать смотреть от модели CCR или можно попробовать новую модель HEX в ней обещают до 500м/бит AES128
Резервирование можно сделать с помощью OSPF и разными cost на интерфейсы(переключение будет происходить не более 10 секунд).
Балансировка на каналах разной ширины возможно, но она будет не явная, используя ECMP указав шлюзы в пропорция по отношению к ширине канала.

ну во первых, нет cмысла разрешать формаврд трафик в фильтре, который у вас проходит через NAT, так как он у вас явно не запрещён в фильтре.
ipsec-esp и ipsec-ah будет ходить когда будут работать ipsec.
Явно проблема не в микротик а в настройках оборудования находящийся на NAT.
и netmap используется не для проброса портов

Так как VPN это отдельный сервис, который потенциально опасный и трафик от него необходимо фильтровать, а также такая схема настраивается намного проще чем схема когда VPN клиент находится в тойже подсети

Если данному параметру присвоено значение 1, то Windows 2000 не будет автоматически создавать фильтр, использующий проверку подлинности на основе сертификатов. Вместо этого будет использоваться политика IPSec, определенная локально или в службе каталогов Active Directory.

https://support.microsoft.com/ru-ru/kb/240262

вам надо сделать маршрут до сервера VPN через вашего провайдера, а нули пустить через VPN

первый вариант вам нужен единый брудкаст домен, но клиентом из винды то не прокатит.
второй вариант это WINS сервер

Я бы немного по другому ответил.
поднятый туннель под ipsec, нужен только для того чтобы уменьшит количество политик ipsec.
Так как в туннеле происходит инкапсуляция трафика, то мы можем городить любые маршруты. а в политиках IPsec прописать только два ip адреса =)

Если вам действительно это интересно то посмотрите на реализацию такой схему как "IPsec over GRE in loopback", как только разберётесь в схеме, сразу поймете для чего делаются тунели под IPSec

что то вы напутали с маркировкой мне кажется, покажите трасировку между сетями

Любой MikroTik