policy based это жопа legacy и очень неудобно

Лучше сделать политику на конечные адреса, между которыми поднять тоннель

Главное, лишнего не шифрануть, чтоб связность не пропала с некриптоваными пирами

Дальше роутинг как обычно

crypto keyring mikrotik
 pre-shared-key address 8.8.8.8 key ZombieMan
crypto isakmp policy 100
encr aes 256
hash sha256
authentication pre-share
group 5
crypto isakmp profile mikrotik-profile
  keyring mikrotik
  match identity address 8.8.8.8 255.255.255.255
  no keepalive
crypto ipsec transform-set ESP-AES-MD5 esp-aes esp-md5-hmac
mode tunnel
ip access-list extended IPSecACL
permit ip 10.1.1.0 0.0.0.255 192.168.100.0 0.0.0.255
permit ip 192.168.0.0 0.0.3.255 192.168.100.0 0.0.0.255
permit ip 192.168.100.0 0.0.0.255 192.168.0.0 0.0.3.255
permit ip 192.168.100.0 0.0.0.255 10.1.1.0 0.0.0.255
crypto dynamic-map dyn-cmap 2000
set peer 8.8.8.8
set transform-set ESP-AES-MD5
set pfs group5
set isakmp-profile mikrotik-profile
match address IPSecACL
crypto map stat-cmap 100 ipsec-isakmp dynamic dyn-cmap
interface GigabitEthernet0/0
crypto map stat-cmap

Это легаси сценарий

В дст и срц должны быть адреса /32

Эта циска может сделать GRE или IPIP?

это бандиты?

GRE и mGRE

Если да, то сделать такой туннель, а адреса пиров засунуть в полиси

Нет, кто-то тунель к тебе строит по ошибке

по ошибке? это как?

Отсеки фаирволлом ipsec и будет тебе счастье

а если у меня L2TP+ipSec?

Пошел курить маны

Тогда, отсеки ip адрес. Сделай правило Bad_IP

Эта паста еще живая?

Да там нечего курить. Как сделать туннель БЕЗ ипсек, но с роутингом представляете?

А потом то же самое, но шифруете этот канал политикой