ipsec большие сети

[Lamerrrr]

Доброго времени суток, господа.
Подскажите пожалуйста, ну вот совсем что-то не понимаю, как правильно заставить работать site-to-site ipsec туннель в сетях с маршрутизацией:

есть куча инструкций как сделать ipsec туннель между сетями вида:
сервер(192.168.1.10)->(192.168.1.1)mikrotik====mikrotik(192.168.100.1)<-раб.станция(192.168.100.10)
в таком виде все поднято и работает.

Подскажите что нужно добавить для такой сети:
сервер(192.168.10.10) -> (192.168.10.1)L3 коммутатор(192.168.1.10) -> (192.168.1.1)mikrotik1====mikrotik2(192.168.100.1)<-раб.станция(192.168.100.10)
для сервера L3 коммутатор является шлюзом по умолчанию.
на коммутаторе прописан маршрут до сети 192.168.100.0 через 192.168.1.1
на mikrotik1 прописан маршрут до сети 192.168.10.0 через 192.168.1.10
на раб.станции прописаны маршруты до сетей 192.168.1.0 и 192.168.10.0 через 192.168.100.1

но
раб. станция "видит" 192.168.1.10, а 192.168.10.1 и тем более 192.168.10.10 - нет.
с коммутатора "видна" раб. станция (192.168.100.10)
с сервера доступен только mikrotik1 (192.168.1.1)
трассировка с сервера до раб. станции уходит через mikrotik1 в инет.

я так понимаю не хватает разрешений, маршрутов, правил на микротиках... подскажите плиз.

[podarok66]

И где в этой схеме

сервер(192.168.1.10)->(192.168.1.1)mikrotik====mikrotik(192.168.100.1)<-раб.станция(192.168.100.10)

сеть с адресом

на mikrotik1 прописан маршрут до сети 192.168.10.0

Сумбур какой-то. Рисуйте схему.

[carassin]

всё очень просто...
вам нужно в ipsec policies на обоих микротиках добавить правила для 10.0/24, то есть микрот1(src=10.0/24 <-> dst 100.0/24), в микроте2 тоже самое, только наоборот.

[carassin]

а если такие правила существуют и

трассировка с сервера до раб. станции уходит через mikrotik1 в инет

то надо добавлять правило в firewall-nat