Eu descobri que o IPSEC do GCE apenas conecta sites, depois que a tabela de rotas é definida, você ainda precisa de uma instância de VM para fazer o encaminhamento de tráfego real.
Eu configurei uma VPN entre meu roteador mikrotik e a VPN do Google Cloud Platform.
De acordo com a verificação Verde ao lado do IP do ponto no console VPN, a VPN está ativa, mas todos os pings expiraram.
> /ip ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0 T * group=default src-address=::/0 dst-address=::/0 protocol=all
proposal=default template=yes
1 src-address=192.168.88.0/24 src-port=any dst-address=10.240.0.0/24
dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=xxx.xxx.xxx.xxx
sa-dst-address=yyy.yyy.yyy.yyy proposal=default priority=0
em que xxx.xxx.xxx.xxx é o ip público do meu roteador e yyy.yyy.yyy.yyy é o IP para o servidor VPN; 192.168.88.0/24 é minha LAN local e 10.240.0.0/24 é LAN remota.
> ping
address: 10.240.0.1
SEQ HOST SIZE TTL TIME STATUS
0 10.240.0.1 timeout
1 10.240.0.1 timeout
2 10.240.0.1 timeout
3 10.240.0.1 timeout
4 10.240.0.1 timeout
5 10.240.0.1 timeout
sent=6 received=0 packet-loss=100%