В правилах файрвола нет правил на запрет по подсетям/интерфейсам? Создай правила логирования где входящий и исходящий интерфейс твой туннель (action=log). И в общем логе смотри не попадает ли трафик под экран.
правила фаерволла
[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp