Peer. exchange mode — main если не знаешь зачем другие вариантыGenerate-policy — no чтобы не создавать SA для неизвестных адресовНадо попробовать в policy поставить адреса не включающие внутренние адреса шлюзовДля работы через nat надо на каждом роутере с натом добавить правила: в самом начале списка:/ip firewall nat add chain=srcnat action=accept place-before=0 \ src-address=10.1.202.0/24 dst-address=10.1.101.0/24Nat-traversal включается для routeros-клиента