На Kerio создается vpn-тоннель - тип подключения "Активное", с авторизацией по предопределенному ключу.
локальный id- произвольное имя kerio
отдаленный id - внешний ip на mikrotik



удаленные сети - 192.168.88.0/24 (домашняя за mikrotik)



локальные сети - сеть, за kerio, та что в офисе



На mikrotik'е необходимо открыть порты, выполнив следующие команды:

/ip firewall filter add chain=input comment="Allow IKE" dst-port=500 protocol=udp
/ip firewall filter add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
/ip firewall filter add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
/ip firewall filter add chain=input comment="Allow UDP" protocol=udp

На вкладке ip->Firewall появятся 4 новых правила:


Настраиваем Proposals (ip->ipsec-Proposals)

/ip ipsec proposal set [ find default=yes ] enc-algorithms=3des,aes-128 pfs-group=none



Настраиваем peer (adress - внешний ip kerio, password - предопределенный ключ авторизации, как в настройках vpn на kerio):

/ip ipsec peer add address=195.138.xxx.xxx/32 dh-group=modp1536 exchange-mode=main-l2tp generate-policy=port-override hash-algorithm=sha1 passive=yes secret=password



После этого должен подняться тоннель.
Для прохождения трафика между офисной и домашней сетью, необходимо добавить правило

/ip firewall nat add chain=srcnat dst-address=10.10.10.0/24 src-address=192.168.88.0/24

(Сеть 10.10.10.0/24 в примере - офисная сеть, за kerio
192.168.88.0/24 - домашняя сеть, за mikrotik)