Алексей

На практике встречалась проблема "нет интернета". Это как видят пользователи. Позвали разобраться, но до этого люди купили Mikrotik hEXs + CRS326 (до того у них стояла гирлянда неуправляемых свитчей). Так вот, после настройки всего этого хозяйства, первым делом разбили сеть на 3 vlan, разделив отделы и ограничив скорости при помощи Queues. Достаточно быстро выявился виновник - забытый в закрытой комнате D-Link DSL-500T на котором был DHCP сервер смотрящий в один из vlan.
Часто помогает в поиске (если это возможно в ваших условиях) - отключение разных сегментов сети, чтобы понимать откуда источник проблемы. Но обычно это очень легко, когда все коммутаторы управляемы, когда нет - физическое отключение аплинка на некую подсеть.
А вообще же, коллеги всё уже расписали выше.

Выше уже написали, что нужно помимо правила проброса портов, в цепочке forward нужно прописать, чтобы система пропускала трафик, который удовлетворит условию:
- входящий адрес/порт на внешнем интерфейсе
- назначение = ваш сервер
Советую в каждое правило временно (!) добавить логирование (галочка log в Winbox, или параметры log и log-prefix в консоли) и добавить префикс, чтобы можно было увидеть трафик с журнале и отследить отработку правила. Также можно сбросить счётчики трафика, чтобы увидеть работу конкретных правил по наращиванию этого счётчика.

Всё подробно расписал коллега rainhog. В своё время ещё на Debian сделал балансировку по типу трафика. Т.е например, почтовый трафик, телефонию я направил (опираясь на диапазоны портов) на одного поставщика, сайты - на другого. Всё отлично. Это же повторил на RB3011Ui. Практика показала, что распределение по количеству пакетов, в зависимости от "толщины" канала, как также указал коллега, не всегда хорошо и приводит к странному результату. Сложно рекомендовать.

Советовать что-либо конкретное тут сложно, поскольку скажем Cisco и Mikrotik это немного разные "весовые категории". Тем не менее, во многих местах (а это в том числе зависит и от бюджета) их ниши пересекаются. На своём предприятии решили не упираться в одного вендора и не переплачивать и имеем фактически только нескольких: D-Link, Mikrotik (CRS, RB серии, hAP и т.д.), SNR. Основным коммутатором был как Mikrotik CRS326 так и D-Link DGS-1210 (ротация на момент сбоя D-Link), что для наших задач хватило полностью. Сеть также разделена виланами, а вся маршрутизация на RB3011. Нет отказоустойчивости, но нет и большого запроса на неё в нашем конкретном случае.