Добрый день, коллеги. Наверное, вопрос поднимался не единожды, но бегло посмотрел по ключевым словам, особо ничего не нашел в чате.  Есть просто ipsec туннель между микротик и vmware edge, без интерфейса (никаких l2tp over нет и у эжда нет такого функционала, обрезан) Со стороны эджа внутренние подсети микротика все прекрасно видно. Со стороны микротика внутреннюю сеть эджа не вижу. 2 провайдера, дефолтный маршрут прописан для первого провайдера, ipsec построен со вторым. Буду очень благодарен в оказании помощи.

Так вопрос не в том, у меня дефолтный маршрут недоступен почему-то, хотя пров выдаёт мне [prefix]/64, [prefix]::0 как шлюз, первый доступный адрес [prefix]::1, если ставлю дефолт роут ::/0 на шлюз, он анричебл почему-то.
Хотя шлюз из внешней сети пингуется норм, т.е. он живой

Где-то ошибка у тебя. Если тебе выдали префикс 64, то шлюзом не может быть адрес из этого префикса

Либо по линк-локал шлюз, либо соседний префикс

Может мне нужно маркировать трафик, который идет через тунннель?

Вот что пров пишет, что замазано там одинаково, конечно.
Ну и вот это они предлагают скопировать для настройки в убунте, например:
iface eth0 inet6 static
   address xxxx:xxxx:x:42f7::1
   netmask 64
   gateway xxxx:xxxx:x:42f7::

Ping с MikroTik нужно делать с src-adds=ip-внутри туннеля

Правила в Nat - выше masqarade нужны

Src nat DST add ip-другой стороны action accept

так маскарад не подойдет, у меня ipsec завязан на второго провайдера,
в нате указал

вообщем в любом случае получается через CPU)))

йеп.

хотите сказать что будет работать hw offload если включу на бридже vlan filtering?

где я это говорю?

эмоция не понятна, строю догадки

надо вообщем взять и затестить

йеп = yep (англ) = ага

спасибо. немного не правильно что l2 будет идти в данном случае через cpu.

хотя он в любом случае через него пойдет, но, хотя бы не шел тот трафик который в провод убегает.

убирай тогда из бриджа wlan