EoIP поверх site-to-site IPsec между двумя роутерами

[klepa]

Имеется два роутера:
1. Keenetic Giga
- сеть Main 192.168.1.1 (192.168.1.0/24)
- есть публичный IP
2. Keenetic Hopper
- сеть Main 192.168.2.1 (192.168.2.0/24)
- нет публичного IP

Между роутерами настроен IPsec site-to-site, в маршрутах remote/local каждого роутера указано по одной сети роутера-партнера. Трафик без проблем ходит между любыми узлами этих двух сетей.

Далее пробую настроить EoIP между этими роутерами поверх IPsec. Для этого на обох устройствах создаю сеть Common 192.168.3.0/24. Настройки роутеров принимают следующий вид:
1. Keenetic Giga
- сеть Main 192.168.1.1 (192.168.1.0/24)
- сеть Common 192.168.3.1 (192.168.3.0/24), DHCP On
- есть публичный IP
2. Keenetic Hopper
- сеть Main 192.168.2.1 (192.168.2.0/24)
- сеть Common 192.168.3.2 (192.168.3.0/24), DHCP Off
- нет публичного IP
EoIP натравлен на доступные через IPsec интерфейсы 192.168.1.1, 192.168.2.1.

После этого наблюдаю следующую картину. Внутри 192.168.3.0/24 трафик ходит без проблем, интернет так же доступен. А вот трафик, например, от клиента 192.168.1.126 до шлюза 192.168.3.2 и клиента 192.168.3.19 не идёт. И обратно из сети EoIP клиент 192.168.3.20 не может достучаться до 192.168.1.10, 192.168.2.1, 192.168.2.11. Остальной трафик вроде бы ходит.

Куда копать? Заранее спасибо.