До этого я никогда с голым IPsec не работал, только

с (LT2P|GRE|IPIP)/IPsec.
На выходных изучал голый IPsec, настраивал между двумя микротиками - все ок.
Между AWS - никак.

Сначала на последней ROS, пробовал настраивать по аналогии, как было настроено между двумя микротиками. То есть только один туннель, без 169.254 сети внутри.
1. Выставлял на AWS для двух фаз те же настройки, но не указывал на стороне AWS local/remote частные подсети. Туннель устанавливался, SA в микротике отображались, но трафик не ходил по нему. Пакеты в Tx отобрадались, но в Rx было пусто (пакеты уходили в туннель, но не возвразались обратно?)
2. Указал на стороне AWS частные подсети обе. Но в этом случае туннель перестал устанавливаться. В микротике Installed SAs отображалась только одна, и спустя время совсем пропадала.

Решил настроить через конфигурацию, которую предлагает AWS (по кнопке download configuration). Версия ROS там была старая, я пытался перенести те же настройки на актуальную - неуспешно.
Сейчас откатил ROS на старую версию (чтобы инструкция совпадала), делал все как в файле с конфигурацией - так же неуспешно

Я так же не понимаю зачем AWS дает два туннеля (резерв?) и почему возникает какой-то inside CIDR 169.254

Смотрел теорию по настройке на cisco - никакого внутреннего туннеля нет.
Скачивал конфигурацию так же своего туннеля для cisco и pfsense - никаких упоминаний 169.254 нет, в отличие от конфигурации для ROS

https://www.wirelessnetware.ca/blog/mikrotik-routeros-and-aws-site-to-site-vpn/

Никак не хочет SA выставлять. Буду с поддержкой тогда общаться. А пока попробую на pfsense

Йуху, повторил то же самое, что и ранее делал. Только на стороне VPC нужного добавил маршрут к локальной сети. Заработало. Без всяких inbound 169.254