Não use o modo de encapsulamento na sua diretiva IPSec.
Isso é o que faz com que o Torch mostre os pacotes GRE.
Como você está criptografando toda a conexão GRE, ela ficará tão segura quanto não usar o modo de encapsulamento. Os pacotes que passarem pelo túnel serão criptografados de qualquer forma, para que ninguém consiga ver quem está se comunicando com quem está dentro do túnel.
Para uma terceira pessoa farejando o tráfego, ela será praticamente a mesma, independentemente do modo de túnel (ex: 1.1.1.1 se comunica com o 2.2.2.2 sobre o protocolo 50-ipsec - não há nenhum benefício em tentar ocultar essa informação com o modo de encapsulamento ).
Além disso, você terá menos sobrecarga de pacotes.
Em Mikrotik Wiki :
Tunnel mode
In tunnel mode original IP packet is encapsulated within a new IP packet thus securing IP payload and IP header.