Максим Гришин

У тимвьюера не VPN как таковой, а архитектура клиент-сервер, где сервер не за натом. Берите белый IP-адрес, и поднимайте любой VPN-сервер.

Для микротика нужно отдельное соединение. Если я правильно читаю конфиг, то это соединение для L2TP/IPsec, с назначением подключающемуся узлу айпишника в локальной сети, а также устройства ppp. Микротик в этом случае правильно подсоединять через IPsec без всяких L2TP, и прописывать на обеих сторонах внутренние и внешние сети (у микротика внутренняя будет 192.168.88.0/24, у strongswan внутренняя 192.168.10.0/24).

Потом - зачем натить пакеты, уходящие в ipsec, на стороне убунту? В этом случае только одна сторона сможет видеть вторую, так как нат мешает соединяться с устройствами за натом снаружи ната.

Выход в Интернет из сети микротика планируется тоже через убунту? Если нет, правильно будет писать на микротике правило для шифрования только пакетов в сеть 192.168.10.0/24. Если да, тогда src-address все равно должен включать всю сеть.

И наконец, если IP микротика динамический, нельзя его задавать в конфиге статически, а задавать нужно интерфейсом.

"Любого" не получится. Если у машин белые (т.е. публичные) IP-адреса, можно построить полносвязную сеть IPsec-туннелей между ними, если у части машин белые адреса, то ту часть полностью связать, а остальные ходят до всех с белыми адресами и их соединения типа транспорт, чтобы каждому соединению типа туннель не добавлять все остальные подсети в качестве локальных или удаленных. Если ни у одной машины нет белого адреса, будут проблемы, понадобится минимум проброс ESP или udp/500, udp/4500 внутрь ната хотя бы для одной машины. Поверх собранной топологии имеет смысл поднять какой-нибудь протокол динамической маршрутизации.

Недавно проходила информация, что микротики подвержены DoS-атаке, если на них подняты сервисы. Возможно, вашему микротику достается досом.