> Галочку Add default route снять в свойствах туннеля/соединения Там маршрут по-умолчанию и не стоит.
Я может непонятно объяснил: Весь остальной траффик идёт, т.е. и интернет у микрота 1.1.1.1 есть, и у клиентов за ним интернет есть. И сам туннель 1.1.1.1 <=> 2.2.2.2 работает (допустим за 2.2.2.2 сеть 172.16.11.0/24 - доступна из-за микрота 1.1.1.1)
А вот если я с микрота 1.1.1.1 или из сети за ним пытаюсь достучаться каким-либо образом до внешнего адреса 2.2.2.2 - то он чёрная дыра. И трассировка с 1.1.1.1 до 2.2.2.2 не идёт ни одного хопа.
У меня сложилось впечатление, что все пакеты идущие с 1.1.1.1 на 2.2.2.2 оформляются в IPSEC. Может где-то в настройках профиля IPSEC что-то для этого есть?