IPSec між двома Mikrotik

Власне проблема, а точніше не розуміння, як же має працювати IPSec у мікротиках. Ну почнемо з вступних, що маємо:

1. Mikrotik#1 - 77.77.77.77 - 1WAN інтерфейс, що стоїть у ДЦ, інші інтерфейси не задіяні. 2. Mikrotik#2 - 88.88.88.88 - RB2011UiAS - стоїть в офісі, локалка 172.16.0.1/24

Завдання підняти IPSec між мікротиками та загорнути весь трафік у IPSec тунель. Ну тобто тупо організувати вихід в інтернет через ДЦ.

Так от тепер починається найцікавіше, не можу зрозуміти як це зробити?! У простому варіанті це підняти ipip тунель, закінчити його 172.16.254.0/30 (1 і 2 відповідно на кінцях тунелів), прописати на мікротиці в ДЦ маршрут про те, що шукати мережу 172.16.0.0/24 за тунелем ipip, навісити нат. На офісній мікротиці відмаркувати трафік, повісити маршрут 0.0.0.0/0 на ipip тунель із зазначенням маркування.

У такому виконанні трафік бігає, сторінки відкриваються і таке інше.

А тепер власне хочеться трафік у тунелі зашифрувати. Для цього звернувся до IPSec, і в кінцевому підсумку отримав такі команди на мікротиках:

# 1 Маршрутизатор ДЦ

/ip ipsec policy add sa-src-address=172.16.254.1 sa-dst-address=172.16.254.2 action=encrypt /ip ipsec peer add address=172.16.254.2 secret=eucdcag generate-policy

# 2 Маршрутизатор Офіс

/ip ipsec policy add sa-src-address=172.16.254.2 sa-dst-address=172.16.254.1 action=encrypt /ip ipsec peer add address=172.16.254.1 secret=eucdcag generate-policy

/ip firewall filter add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE" disabled=no /ip firewall filter add chain=input protocol=ipsec-esp action=accept comment=" Allow IPSec-esp" disabled=no /ipfirewall filter add chain=input protocol=ipsec-ah action=accept comment="Allow IPSec-ah" disabled=no

IPSec піднімається, мабуть, принаймні у статистиці не нули.

Викликаю колективний розум до допомоги у просвіті мене недоумкуватого.

---