Похоже веб сервер получив запрос отвечает внешнему клиенту через шлюз по умолчанию а не через туннель. Как заставить микрот 10.255.4.2 ответы веб сервера завернуть туда откуда пришли, т.е. в тунель при этом что бы сервер имел возможность обращаться в интернет не через тунель а через 89.99.99.99?
Ответ добавить правило:
/ip firewall mangle
add action=route chain=prerouting dst-address-list=clients in-interface=bridge1 passthrough=yes protocol=tcp route-dst=10.255.4.1 src-address=10.10.0.248
