Доступ к внешнему роутеру по WAN2.

У меня такая конфигурация (RB 450): клиенты group1 → ETH1 | | ETH5 → ext router1 клиенты group2 → ETH2 | | ETH4 → ext router2 group1 — 192.168.5.0/24 group2 — 192.168.1.0/24 ETH4 — 192.168.10.10 ETH5 — 192.168.110.10 ext router1 — 192.168.110.1 ext router2 — 192.168.10.1 Некоторые клиенты из group2 используют ETH5 / router1.

Хочу иметь доступ к ext router 1 и к ext router 2 из обеих групп. Я сделал такую NAT-конфигурацию:

add action=masquerade chain=srcnat comment="dostep do routera TP" disabled=no \
   dst-address=192.168.110.0/24 out-interface=ether5_WAN_TP_DSL
add action=masquerade chain=srcnat comment="dostep do routera NETIA" \
   disabled=no dst-address=192.168.10.0/24 out-interface=ether4_WAN_Netia
add action=masquerade chain=srcnat comment="internet klienci" disabled=no \
   out-interface=ether4_WAN_Netia routing-mark=!DSL src-address=\
   192.168.1.0/24
add action=masquerade chain=srcnat comment="internet klienci lacze TP" \
   disabled=no out-interface=ether5_WAN_TP_DSL routing-mark=DSL src-address=\
   192.168.1.0/24
add action=masquerade chain=srcnat comment="internet grupa1" disabled=no \
   dst-address=!192.168.10.0/24 out-interface=ether5_WAN_TP_DSL src-address=\
   192.168.5.0/24

Но клиенты из group1 не имеют доступа к router2, а клиенты из group2 не имеют доступа к router1.