Исходящий VPN заблокирован

Твоё правило страдает от той же проблемы. Если разобрать его по частям: action=dst-nat chain=dstnat — где оно находится и что должно делать to-addresses=192.168.0.146 to-ports=1196 — новый адрес назначения dst-port=1196 protocol=tcp — к каким пакетам применяется (оригинальный порт назначения).

То есть, другими словами, оно возьмёт пакеты, направленные на :1196, и перенаправит их на 192.168.0.146:1196. Входящие, исходящие — не имеет значения, если только порт назначения 1196, всё будет отправлено на твой внутренний сервер.

Отложим в сторону, что 1196 — это не стандартный порт VPN, так что для большинства сервисов это несущественно, но тебе действительно стоит указать оригинальный адрес назначения. Либо использовать dst-address=, либо dst-address-type=local — тоже подойдёт.

Ну да, похоже, именно так и есть. Я не был уверен, что поймал суть. Но при этом не так много портов, которые должны работать, и всё должно быть довольно стандартно, исходя из того, что я нашёл. Вот что у меня сейчас есть:

/ip firewall filter  
add action=accept chain=input comment="Top:" connection-state=established,related,untracked  
add action=drop chain=input connection-state=invalid comment="c: drop invalid"  
add action=accept chain=input protocol=icmp comment="c: accept ICMP" connection-state=new  
add action=drop chain=input in-interface-list=WAN comment="c: drop all not coming from LAN"  

add action=accept chain=input comment="Allow LAN access to the router itself" connection-state=new in-interface=ether1  

add action=accept chain=input comment="S: OpenVPN" protocol=tcp dst-port=1194  

add action=accept chain=input comment="ss: softVPN" protocol=tcp dst-port=1197-2100  

add action=accept chain=input comment="softVPN ud" protocol=udp dst-port=1197-2100  

add action=accept chain=input protocol=tcp dst-port=5060-5061 comment="Voip"  

add action=accept chain=input protocol=tcp dst-port=25 comment="ipCam mail"  

add action=accept chain=input dst-port=500,4500 in-interface=ether1 protocol=udp comment="allow L2TP VPN /udp"  

add action=accept chain=input in-interface=ether1 protocol=ipsec-esp comment="v: L2TP/IPSEC"  

add action=accept chain=input dst-port=1701 protocol=udp comment="Keep Off uncrypted: L2TP"  

add action=drop chain=input comment="Drop all input"  

add action=accept chain=forward comment="c3: accept established,related, untracked" connection-state=established,related,untracked  

add action=accept chain=forward in-interface-list=WAN connection-nat-state=dstnat connection-state=established,related comment="packet forwarded accept from nat rule"  

add action=accept chain=forward ipsec-policy=in,ipsec comment="FuturVp in ipsec policy"  
add action=accept chain=forward ipsec-policy=out,ipsec comment="FuturVp out ipsec policy"  

add action=fasttrack-connection chain=forward comment="df: fasttrack" connection-state=established,related disabled=yes  

add action=accept chain=forward comment="Plex- TCP or32400" disabled=yes dst-port=3005,8324,32469 protocol=tcp  
add action=accept chain=forward comment="Plex Ports - udP" disabled=yes dst-port=1900,5353,32412-32414 protocol=udp  

add action=drop chain=forward comment="c3: drop invalid" connection-state=invalid  

add action=drop chain=forward comment="c3: drop all from inet WAN if not in DSTNATed list" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN  

/ip firewall nat  
add action=masquerade chain=srcnat comment="Main1: masquerade" out-interface-list=WAN  

add action=masquerade chain=srcnat comment="masq. rbMaison vpn traffic" src-address=192.168.89.0/24  

add chain=dstnat dst-port=5060-5061 action=dst-nat protocol=tcp to-addresses=192.168.0.30 to-port=5060-5061  

add action=dst-nat chain=dstnat dst-port=12700-65500 in-interface=ether1 protocol=udp to-addresses=192.168.0.30 to-ports=5060-5061 comment="voip box"  

add chain=dstnat in-interface-list=WAN dst-port=25 action=dst-nat protocol=tcp to-addresses=192.168.0.128 to-ports=25 comment="ipcam email"  

add action=dst-nat chain=dstnat comment="Create an incoming port map rule-syntaxok wiki" dst-port=25 protocol=tcp to-addresses=192.168.0.128 to-ports=25 disabled=yes  

add chain=dstnat dst-address-type=!local protocol=tcp dst-port=1197-1200 action=dst-nat to-addresses=192.168.0.146 to-ports=1197-1200 comment="softVpn" ether1 is on bridge one 192.168.0.0/24  

Заранее спасибо!

Я снова провёл день за этим и пока что вижу, что всё работает примерно 2 минуты, а потом обрывается... Например, убираю весь NAT. С IP-телефоном ситуация такая же — если подключить к старому роутеру, всё работает, отключаешь старый роутер и ставишь на rb4011, телефон работает 10–20 минут и потом опять перестаёт. VPN тоже не работает. По VPN: покупал ключ за 5$ в месяц у nordvpn, somethingvpn.com... Захожу в Starbucks, запускаю softvpn — всё отлично работает. Пытаюсь подключиться к mikrotik — не подключается. По сути, могу ли я просто открыть порт в ipfilter и не делать ничего с NAT? Сейчас у меня так:

add action=accept chain=input comment="softVPN ud" protocol=udp dst-port=1197-2100

add action=accept chain=input protocol=tcp dst-port=5060-5061 comment="Voip"

Должно ли это быть в форварде? Очень сложно понять всё правильно и я не уверен, что устройство rb4011 вообще работает нормально.

Или лучше указать WAN как единственный интерфейс для форварда... или всё пускать через форвард:

/ip firewall filter  
add action=accept chain=forward comment="allow dst-nat connections from WAN" connection-nat-state=dstnat connection-state=new in-interface-list=WAN

Что касается NAT, с in-interface=ether1 вроде работает лучше. Могу подтвердить, что эта команда работает нормально:

add action=dst-nat chain=dstnat comment="open port inet9130 to port 80 internal lan-ok" dst-address=192.168.1.120 dst-port=9130 in-interface=ether1 protocol=tcp to-addresses=192.168.0.128 to-ports=80

Спасибо за помощь, весь код, который я писал выше, — это в основном результаты поиска, вики и форумной информации, но всё равно не получается разобраться.