всё у вас нормально настроено, проверьте настройки шлюза на клиентской машине 1.220, шлюзом должен стоять микротик, ну и на вкладке action порт можно убрать
я так понимаю, что в примере подразумевается - пользователи шарятся со своими ноутами и т.д. в режиме свободного плавания?
тогда проще считаю сделать так:
/ip firewall mangle>
add chain=prerouting dst-address=1c.site.com d-port=8888 in-interface=bridge-local action=mark-connection new-connection-mark=to-rdp-from-local-conn
add chain=prerouting dst-address=1c.site.com d-port=8888 in-interface=bridge-local action=mark-packet new-packet-mark=to-rdp-from-local-pkt
раз RDP взято как пример
а потом уже фильтрами файервола перегнать такого пользователя куда требуется)
ну у вас всё и работает прекрасно на одну половину..)
кто настраивал - хотел сперва поднять транспорт l2tp и на концах его зашифровать..
по факту транспорт работает, но без шифрования просто гонит трафф напрямую..
согласуйте политики ipsec и ошибка пропадет
а вы отстегнули второй порт из бриджа?
если судить по шапке окна, то нет, ибо по дефолту всё стоит..
тогда лучше и не трогать второй порт, а воткнуть второго прова в третий порт, отстегнуть его и уже всё остальное настроить..