Для микротика нужно отдельное соединение. Если я правильно читаю конфиг, то это соединение для L2TP/IPsec, с назначением подключающемуся узлу айпишника в локальной сети, а также устройства ppp. Микротик в этом случае правильно подсоединять через IPsec без всяких L2TP, и прописывать на обеих сторонах внутренние и внешние сети (у микротика внутренняя будет 192.168.88.0/24, у strongswan внутренняя 192.168.10.0/24).
Потом - зачем натить пакеты, уходящие в ipsec, на стороне убунту? В этом случае только одна сторона сможет видеть вторую, так как нат мешает соединяться с устройствами за натом снаружи ната.
Выход в Интернет из сети микротика планируется тоже через убунту? Если нет, правильно будет писать на микротике правило для шифрования только пакетов в сеть 192.168.10.0/24. Если да, тогда src-address все равно должен включать всю сеть.
И наконец, если IP микротика динамический, нельзя его задавать в конфиге статически, а задавать нужно интерфейсом.