Как исключить трафик LAN из политики IPSec
Это зависит от версии Exchange, который Вы выполняете, среди прочего. В 2007 и особенно 2010, Exchange стал намного меньшим количеством I/O-bound с большими почтовыми базами данных. Не зная, как Ваша Система обмена настраивается (версия, количество баз данных, количества сервера, дисковой подсистемы, и т.д.), было бы невозможно дать Вам точный ответ.
Moreso, это походит на политический вопрос между пользователями и отделом ИТ. Нет очень, мы можем сделать для помощи Вам там.
Единственный способ избежать несоответствий маршрутизации - это настроить туннель, который не перекрывается с вашим сегментом локальной сети.
Взгляните на диаграммы потока пакетов RouterOS . если CIDR вашего туннеля будет таким широким, все пакеты достигнут шага шифрования IPsec, и на этом этапе политики IPsec не будут обеспечивать такое поведение «игнорировать IPsec», которое вы собираетесь настроить; пакеты могут не быть зашифрованы (действие IPsec = none), но заголовки протокола IPsec будут добавлены, а IP-адрес может быть изменен в соответствии с SA.