Ну там есть срц и роут таблес

/ip route rule
add src-address=192.168.0.0/24 table=ISP2

так получается?

Правило подсеть ipsec vpn => подсеть VPN о которой знает тик = accept создано, т.е. мсаскарадиться т этот трафик не должен. Но все равно не работает

Коллеги, пните в нужном направлении, плиз, а? Задача подключиться стандартными средствами Win к тику, получить  доступ в сеть за ним и в сети о которых тик знает (GRE тунели с другими тиками (Ipsec-ом они НЕ НАКРЫТЫ)). IKE2 был выбран, настроен eap-radius, подключение происходит, маршруты клиенту в локальные сети за микротом пушатся, доступ в локалку за Тиком (его родную) есть, но доступа в другие подсети нет. Где не докрутил, где еще поковырять скальпелем?

Ну да. Можно ещё манглами, там тоже есть срц и роуте екшен

а action что должно быть в таком варианте? можно поподробнее

С ним за натом всегда что то не так.