Én egy hetet dolgoztam, mire megcsináltam egy ehhez nagyon hasonló IPsec site-to-site csatornát OPNsense és Mikrotik között úgy, hogy mindkettő dinamikus publikus című Digi PPPoE internetre kapcsolódik. Az OPNsense oldal ugyan erős Xeon-on fut, AES-NI-vel menne az OpenVPN gyorsítás, viszont a Mikrotik csak IPsec-et tud HW gyorsítani OpenVPN-t csak CPU-ból, támogatás nélkül, kis sávszélességgel tolja. Így itt a HW korlát miatt kellett az IPsec.
Most sajna nincs időm ide beírni minden lépést és részletet, de a hétvége folyamán szívesen megosztom itt vagy máshol a megoldásom. Az a lényeg, hogy hiába tudja elvileg az OPNsense és a Mikrotik is a dinamikus publikus címen az IPsec-et, a gyakolratban ez úgy igaz, hogy induláskor csinál DNS feloldást, és utána azzal megy örökre (újraindításig), tehát ha közben változik az IP cím, mindkét oldalon tudatni kell az IPsec stack-kel ezta tényt. Mindkét oldalon saját script van eseményhez rendelve ehhez (ezeket is bemásolom majd).
Nekem remekül, hozzányúlás nélkül működik azóta, bármelyik odallal bármi történik, kis idő alatt helyreáll a tunnel. Csak azért írtam be gyorsan, hogy tudd, van megoldás, csak kicsit melós.