Василий

Зря создал, сдвинулось...
На AD 2 сетевых интерфейса, соответсвенно в одном указан адрес шлюза, в другом нет. Я прокидывал на тот интерфейс, на котором шлюз не указан. А как мы знаем -- интерфейс, на который прокидываешь, должен иметь адрес шлюза, с которого прокидываешь...
Короче 1 организацию поборол. С микротиком все просто. А вот Pfsence пока не дается, мб просто не правильно что то прокинул, я с ним мало работал... Будем разбираться. Всем спасибо, очень помогли :))

помогли на sisadmins.ru
Правило айпитаблеса для маскарадинга лучше засунуть в /etc/iptables/rules.v4 с помощью пакета iptables-persistent

Решение:
apt-get install iptables-persistent
iptables -t nat -A POSTROUTING -s '10.0.0.0/24' -o vmbr0 -j MASQUERADE
iptables-save > /etc/iptables/rules.v4
reboot

Дело в том, что первые 20 ответов в яндексе говорят прописывать маскардинг в interfaces, я был уверен, что надо прописывать в самом iptables, просто не знал как, мало опыта...подсказали, 5 мин гугла, 2 ребута и проблема решена :)

всем спасибо, вопрос можно закрывать