Cita: no es ese el problema, el ISP dice que esta activo el tunel, pero yo no puedo hacer ping ni a la IP publica ni a la lan
¿A cual? ¿Y desde donde?
Me explico... tienes una maquina1 en m1, router1 en r1, router2 en r2 y maquina2 en m2. m1 y r1 pertenecen a LAN1, r1 lanza un tunel contra r2. r2 y m2 pertenecen a LAN2.
Con el tunel levantado deberías poder hacer ping entre r1 y r2, pero simplemente así, NO podrías hacer ping entre m1 y r2 ni entre m1 y m2 (ni entre m1 y la interfaz del tunel de r1 si no has dicho que esa subred se alcanza por ahí).
Para poder hacer eso, debes tener una ruta en m1 que le diga que para alcanzar la subred detras de r2 DEBE ir a través de r1 (todo esto suponiendo que tanto r1 como r2 tengan sus tablas de rutas correctas tras lanzar el tunel, claro)... Pero para que m2 pueda responder (incluso a un ping) DEBE saber que para alcanzar la subred detrás de r1 debe ir a través de r2.
Sé que todo esto es muy obvio, y que posiblemente ya lo hayas verificado, pero en multiples ocasiones me he encontrado con gente que no se daba cuenta de que las tablas de rutado debían estar perfectamente configuradas en todas las máquinas de ambos extremos de un túnel, de lo contrario intentaban conectar o respodner a través de la puerta de enlace por defecto (con lo que era imposible que se viesen ambos extremos).
Si no es eso... Tendrás que pelearte con tu ISP. Esa es una de las razones por las que suelo implementar túneles VPN independientes de los proveedores (y personalmente me decanto por opciones Open Source, pero cada cual tiene sus preferencias).
Suerte, en cualquier caso.