без IPsec совсем грустно и не секюрно, а на удаленке могут быть как микротики, так и циски аса, а они только IPsec и умеют.
не совсем понял Вашу мысль: поставить по два микротика с каждой стороны? или только в центре? если в центре, скорее всего заработает как надо, а вот как настроить резервирование, через VRRP? если есть у кого нить схожий конфиг с двумя микротами с OSPF и VRRP, с благодарностью взглянул бы.
подозреваю, что проблема на центральном микротике в этих строчках:
\
/ip firewall mangle
add action=mark-connection chain=input in-interface=2-WAN-2.2.2.2 \
new-connection-mark=wan2_connect passthrough=no
add action=mark-connection chain=input in-interface=wan-1.1.1 \
new-connection-mark=wan1_connect passthrough=no
add action=mark-routing chain=output connection-mark=wan2_connect \
new-routing-mark=wan2-out passthrough=no
add action=mark-routing chain=output connection-mark=wan1_connect \
new-routing-mark=wan1-out passthrough=no
/ip route
add distance=1 gateway=2.2.2.1 routing-mark=wan2-out
add distance=1 gateway=1.1.1.1 routing-mark=wan1-out
add distance=1 gateway=1.1.1.1
add distance=2 gateway=2.2.2.1
add distance=1 dst-address=10.0.0.0/8 gateway=192.168.100.1
add distance=1 dst-address=192.168.0.0/16 gateway=192.168.100.1
получается что IPsec туннель построенный через wan1 всегда работает корректно, второй туннель через wan2 только после пинга со стороны клиента, причем не зависимо, что у клиента стоит микротик или циска аса, и какие подсети как распределены между туннелями, результат всегда один и тот же. а в логах видно что оба туннеля построились, но пакеты ходят только по одному.
еще смущает маршрутизация на центральном микротике, на скриншоте. хотя по обоим интерфейсам отвечает. маршрут на wan2 всегда статический, а другие - активные статические.