Dual WAN + IPsec

[Dorian]

Приветствую всех.

Помогите пожалуйста с настройкой RB3011UiAS на RouterOS 6.49.10.
Пару недель назад дали в руки данный микротик и сказали настроить Dual WAN + IPsec, изначально работал один провайдер Ростелеком подключенный в ether1 по IPoE c 66.66.66.193/30, подключили недавно второго в виде резерва ДОМРУ по PPPoE с статическим IP 88.88.88.132
Настройки которые выполнил ниже, но ничего не работает как нужно, IPsec не подключается через PPPoE с статическим IP 88.88.88.132
Схема:
ether1 - IPoE - 66.66.66.193/30
ether2 - PPPoE - 88.88.88.132
ether3 - ничего нет
ether4 - ничего нет
ether5 - ничего нет
ether6 - локальная сеть 192.168.1.1/24
ether7 - локальная сеть 192.168.1.1/24
ether8 - локальная сеть 192.168.1.1/24
ether9 - локальная сеть 192.168.1.1/24
ether10 - локальная сеть 192.168.5.1/24
IPsec - 192.168.1.0/24 разбитый на несколько групп.

Подскажите в какую сторону нужно копать, что не верно и что нужно поправить.

 Задача от руководства звучит так:

ТЗ
Необходимо реализовать резервирование интернет
Если доступны Ростелеком и Дом ру, то
1. Внешние пользователи подключаются через Ростелеком и Дом.ру по VPN. Через какой интерфейс пришёл пакет извне через тот интерфейс должен и быть отправлен обратно.
2. Исходящий трафик из корпоративной сети должен идти через Дом.ру

Если доступен только Ростелеком
1. Внешние пользователи подключаются через Ростелеком по VPN
2. Исходящий трафик из корпоративной сети должен идти через Ростелеком

Если доступен только Дом.РУ
1. Внешние пользователи подключаются через Дом.РУ по VPN
2. Исходящий трафик из корпоративной сети должен идти через Дом.Ру

Внешний адрес Ростелеком vpn1.site.ru
Внешний адрес Дом.РУ vpn2.site.ru

Должны работать IKEv2 и OpenVPN с авторизацией по доменному логину и паролю.

Также необходимо реализовать проброс портов на 192.168.1.213 (443 и 80 порты) с обеих интерфейсов (Ростелеком и Дом.РУ)

 Текущие настройки

#by RouterOS 6.49.10
# software id = R0D3-Y0D1
# model = RB3011UiAS

/interface bridge
add name=Loopback
add admin-mac=48:8F:5A:FF:FF:FF auto-mac=no comment=defconf name=bridge
/interface pppoe-client
add disabled=no interface=ether2 name=pppoe-out1 password=123321 user=\
123321
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=ipsec-group
/ip ipsec profile
add enc-algorithm=aes-256,aes-128 name=ipsec
/ip ipsec peer
add exchange-mode=ike2 name=ipsec passive=yes profile=ipsec \
send-initial-contact=no
/ip ipsec proposal
add enc-algorithms=aes-256-cbc,aes-128-cbc name=ipsec-proposal pfs-group=none
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=pool_vpn ranges=192.168.1.100-192.168.10.149
add name=pool_vpn_vdi_only ranges=192.168.10.200-192.168.10.220
add name=pool_vpn_full_access ranges=192.168.10.150-192.168.10.199
add name=pool_vpn_ipsec ranges=192.168.10.221-192.168.10.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/ip ipsec mode-config
add address-pool=pool_vpn_ipsec name=ipsec split-include=\
192.168.1.0/24,192.168.10.0/24
/ppp profile
add local-address=192.168.10.1 name=ovpn only-one=yes remote-address=pool_vpn \
use-encryption=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=none
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=ether10 list=LAN
add interface=ether9 list=LAN
add interface=ether8 list=LAN
add interface=ether7 list=LAN
add interface=ether6 list=LAN
add interface=Loopback list=LAN
add interface=pppoe-out1 list=WAN
/interface ovpn-server server
set auth=sha1 certificate=ovpn-server cipher=aes256 default-profile=ovpn \
enabled=yes
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
192.168.1.0
add address=66.66.66.193/30 interface=ether1 network=66.66.66.192
add address=192.168.5.1/24 interface=ether10 network=192.168.5.0
add address=192.168.10.2/24 interface=Loopback network=192.168.10.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
192.168.88.1
/ip dns
set allow-remote-requests=yes servers=77.88.8.8,77.88.8.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="from office" disabled=yes \
dst-address=192.168.11.0/24 src-address=192.168.5.0/24
add action=accept chain=forward comment="to office" disabled=yes \
dst-address=192.168.5.0/24 src-address=192.168.11.0/24
add action=accept chain=forward connection-state=established,related \
disabled=yes dst-address=192.168.11.0/24 src-address=192.168.5.0/24
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 \
in-interface=ether1 protocol=tcp
add action=accept chain=input comment="Allow IPSec VPN" dst-port=500,4500 \
in-interface=ether1 protocol=udp
add action=accept chain=input dst-address=192.168.10.2 src-address=\
192.168.10.0/24
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-connection chain=input in-interface=ether1 \
new-connection-mark=ether1_conn
add action=mark-routing chain=output connection-mark=ether1_conn \
new-routing-mark=to_ether1
add action=mark-connection chain=input in-interface=pppoe-out1 \
new-connection-mark=ether2_conn passthrough=yes
add action=mark-routing chain=output connection-mark=ether2_conn \
new-routing-mark=to_ether2
/ip firewall nat
add action=accept chain=srcnat comment="from office" disabled=yes \
dst-address=192.168.11.0/24 src-address=192.168.5.0/24
add action=accept chain=srcnat comment="to office" disabled=yes \
dst-address=192.168.5.0/24 src-address=192.168.11.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface=ether1 to-addresses=66.66.66.193
add action=masquerade chain=srcnat comment="masquerade DOMRU" ipsec-policy=\
out,none out-interface=pppoe-out1 to-addresses=88.88.88.132
add action=src-nat chain=srcnat comment="NAT via RT" ipsec-policy=out,none \
out-interface=ether1 to-addresses=66.66.66.193
add action=src-nat chain=srcnat comment="NAT via DOMRU" ipsec-policy=out,none \
out-interface=pppoe-out1 to-addresses=88.88.88.132
add action=dst-nat chain=dstnat dst-address=66.66.66.193 dst-port=80,443 \
in-interface=ether1 protocol=tcp to-addresses=192.168.1.213
add action=dst-nat chain=dstnat dst-address=88.88.88.132 dst-port=80,443 \
in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.213
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=pppoe-out1
/ip ipsec identity
add auth-method=eap-radius certificate=\
fffff.ru,fffff.ru_issuer1,fffff.ru_issuer2 comment=\
"remote workers with RADIUS" generate-policy=port-strict mode-config=\
ipsec peer=ipsec policy-template-group=ipsec-group
add comment="from home office keenetic" generate-policy=port-override my-id=\
user-fqdn:mikrotik@headoffice peer=ipsec policy-template-group=\
ipsec-group remote-id=user-fqdn:ffft@fff secret=\
"fffff"
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ipsec-group proposal=ipsec-proposal \
src-address=0.0.0.0/0 template=yes
/ip route
add distance=1 gateway=66.66.66.194 routing-mark=to_ether1
add distance=1 gateway=pppoe-out1 routing-mark=to_ether2
add distance=1 gateway=66.66.66.194
add check-gateway=ping distance=2 gateway=pppoe-out1
add disabled=yes distance=2 gateway=pppoe-out1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24,192.168.10.0/24,192.168.5.0/24
set api-ssl disabled=yes
/ip ssh
set strong-crypto=yes
/lcd pin
set hide-pin-number=yes pin-number=111
/ppp aaa
set use-radius=yes
/ppp secret
add name=ffff password=fffff#EDC service=ovpn
/radius
add address=192.168.1.103 secret="fffff" service=ppp,ipsec
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=77.77.77.10 secondary-ntp=77.77.77.3
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[casio81]

В адресес не понимаю как второй провайдер подключен.
В роутерс адреса прыгают
Попробуйте дистанс сделать 2 и 3.
/ip route
add comment="Inet 1" disabled=no \ distance=2 dst-address=0.0.0.0/0 gateway=66.66.66.193
add comment="Inet 2" disabled=no \ distance=3 dst-address=0.0.0.0/0 gateway=88.88.88.132