Sí, eso tiene buena pinta. Mira si desde el router HQ puedes hace ping a la IP del router remoto, a la que sea que le haya otorgado como Peer. Lo puedes ver, en HQ, en la IP -> IPSec -> Active Peers, columna
Dynamic Address.
Digamos, por ejemplo (sino, pásame un export y lo vemos con datos reales), que has establecido un túnel IKEv2 y que tu pool de VPN es el 192.168.89.0/24, siendo la IP que le otorga IKEv2 al equipo remoto la 192.168.89.2, y la 192.168.89.1 tu IP local (asignada al bridge de loopback)
En ese momento, podrías levantar un túnel desde HQ al remoto y viceversa, tipo esto:
Código:
# En HQ, ip local 192.168.89.1, IP remota 192.168.89.2
/interface ipip
add local-address=192.168.89.1 name=ipip-tunnel-to-remote remote-address=192.168.89.2
En el remoto, idéntico, pero a la inversa
Código:
# En el remoto, ip local 192.168.89.2, IP remota (HQ) 192.168.89.1
/interface ipip
add local-address=192.168.89.2 name=ipip-tunnel-to-hq remote-address=192.168.89.1
En ese momento ya tienes dos interfaces routeables que montan un túnel sobre IKEv2. Te quedaría darles una IP /30 a cada interfaz de cada lado, y montar rutas estáticas para encontrar el otro lado. Imaginemos que usamos como IP's de los túneles la 192.172.16.1/30 para HQ y la 192.172.16.2/30 para el remoto. Nos quedaría algo así:
Código:
# En el lado HQ
/ip address
add address=192.172.16.1/30 interface=ipip-tunnel-to-remote network=192.172.16.0
Código:
# En el lado Remoto
/ip address
add address=192.172.16.2/30 interface=ipip-tunnel-to-hq network=192.172.16.0
Con esto y un bizcocho, lo único que nos quedarían serían las rutas estáticas, para decirle "A la lan del otro lado, se llega por este túnel que te doy". Imaginemos que los segmentos LAN HQ y remoto son 192.168.88.0/24 y 192.168.87.0/24 respectivamente. Tendríamos que añadir las siguientes rutas estáticas para que el tema funcione:
Código:
# En el lado HQ
/ip route
add dst-address=192.168.87.0/24 gateway=192.172.16.2
Y en el lado remoto, idéntico pero a la inversa
Código:
# En el lado Remoto
/ip route
add dst-address=192.168.88.0/24 gateway=192.172.16.1
Con eso tendrías comunicadas las LAN de ambos extremos, usando interfaces routeables (túneles IPIP) sobre otro túnel IKEv2. Y, la parte de las policies y el marcado de paquetes en mangle, te lo ahorras.
Saludos!