да, насколько я понимаю:

А где DNS для определения dns.google?)

Ну пропиши 8.8.8.8  вместо днс.гугл

Так можно и на исках разориться)

ИМХО: вы поднимаете нешифрованный GRE между внешними IP-адресами, а затем гоняете IPSec в туннельном режиме между хостами в /30 внутри него - и мне кажется, это не то что вы хотите

Мне просто не понятно как микротик ищет IP DoH сервера изначально?
IP зашиты в прошивке?

может быть. я не совсем понимаю, как в МТ работает ipsec+gre, и толковых руководств не нашёл. поэтому мог и сделать всё не так
можете подсказать, как сделать правильно?

ну все самые основные которые через doh забанить) и все

/stat@combot

Total messages: 181895

ip ipsec policy print

вы к тому, что обо всём здесь уже говорили? я делал поиск по чату, ничего толкового не нашёл. с руководствами и документацией у МТ тоже не очень - я, как честный человек, долго искал информацию сам, прежде, чем в чат пойти

О синтаксис export MT можно глаза сломать, вот так я делаю для ESP transport mode, IKEv2, X.509 auth, GRE, Dynamic Policy

[polukhinri@XXX] > ip ipsec export verbose                
/ip ipsec policy group
add name=ike2-gre
/ip ipsec profile
add dh-group=ecp256 dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=1d name=ike2-gre nat-traversal=yes proposal-check=obey
/ip ipsec peer
add address=XXX comment=IKE2-GRE disabled=no exchange-mode=ike2 name=ike2-gre profile=ike2-gre send-initial-contact=yes
/ip ipsec proposal
add auth-algorithms=sha256 disabled=no enc-algorithms=aes-256-cbc lifetime=8h name=ike2-gre pfs-group=ecp256
/ip ipsec identity
add auth-method=digital-signature certificate=XXX comment=IKE2-GRE disabled=no generate-policy=port-strict peer=ike2-gre policy-template-group=ike2-gre
/ip ipsec policy
add disabled=no dst-address=0.0.0.0/0 group=ike2-gre proposal=ike2-gre protocol=all src-address=0.0.0.0/0 template=yes

[admin@MikroTik] > /ip ipsec policy print  
Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default
#     PEER  TUN SRC-ADDRESS                                    DST-ADDRESS                                    PROTOCOL  
0 T *           ::/0                                           ::/0                                           all      
1  DA  ips.. yes 0.0.0.0/0                                      1.1.1.1/32                                all      
2  DA  ips.. yes 224.0.0.5/32                                   10.255.10.1/32                                 all      
3  A  ips.. yes 10.255.10.2/32                                 0.0.0.0/0                                      all

я к тому, что в своей policy - фаза 2  поставьте src-address=0.0.0.0/0 и добавьте protocol=gre
далее надо дернуть IPSEC
проверять ping между /30 на туннеле

итого - политика точно кривая ;)

в интерфейсе GRE в политике недоступен

За несанкционированную блокировку можно иск схватить не малый, в ЕСПЧ уже лежит иск от сайта по фоткам, которого ковровыми бомбардировками воронежа накрыло...
И его уже начали рассматривать.

Нельзя его задать в конфигурации, увы

/ip ipsec policy add tunnel=yes protocol=gre ???? - в консоли можно
ну или поставьте all (255) - получите policy симметричную fortigate