Алексей

Выше уже написали, что нужно помимо правила проброса портов, в цепочке forward нужно прописать, чтобы система пропускала трафик, который удовлетворит условию:
- входящий адрес/порт на внешнем интерфейсе
- назначение = ваш сервер
Советую в каждое правило временно (!) добавить логирование (галочка log в Winbox, или параметры log и log-prefix в консоли) и добавить префикс, чтобы можно было увидеть трафик с журнале и отследить отработку правила. Также можно сбросить счётчики трафика, чтобы увидеть работу конкретных правил по наращиванию этого счётчика.

Пытаюсь изложить, как я это понял:
1. некое устройство снаружи пытается достучаться до какого-то устройства внутри сети за микротиком;
2. требуется предоставить доступ к этому устройству с внешнего устройства с белым IP?
3. требуется ограничить доступ внутреннего устройства к некоему внешнему по его белому IP?
Как и обычно, пункт 1 решается правилом DSTNAT в цепочке NAT. Пункт 2 решается в цепочке forward, где указать кому куда. Пункт 3 аналогично пункту 2.

Всё подробно расписал коллега rainhog. В своё время ещё на Debian сделал балансировку по типу трафика. Т.е например, почтовый трафик, телефонию я направил (опираясь на диапазоны портов) на одного поставщика, сайты - на другого. Всё отлично. Это же повторил на RB3011Ui. Практика показала, что распределение по количеству пакетов, в зависимости от "толщины" канала, как также указал коллега, не всегда хорошо и приводит к странному результату. Сложно рекомендовать.

Всё странно в этой ситуации, но железо есть железо...
Сама задумка по удалённой перенастройке безусловно верная, но по себе знаю, что увы бывают случаи, когда требуется физическое присутствие (или присутствие помощника, который в телефонном режиме сможет сделать некие манипуляции).
Прописывание маршрута в этой ситуации на mikrotik ситуацию не спасает, т.к устройство на котором собственно и слетел IP ничего не знает про шлюз, которым в вашем случае выступает этот mikrotik. Следовательно маршрут на 10.90.90.90 есть, но в обратку по сути ничего нет, т.к все пакеты будут ходить в этой подсети но не попадут в подсеть 192.168.10.0/24. ((
Таким образом, на интерфейс, смотрящий в сторону этих коммутаторов, нужно повесить ещё один IP адрес той же подсети (т.е 10.90.90.95 например). В этом случае устройства будут друг друга видеть, поскольку находятся уже в одной подсети.
Ну а вообще конечно надо разобраться в причинах потери интерфейсами правильных IP адресов...