Первое правило может быть по нулям, если никто из внутренней сети не ходил в интернет. Втрое пусто т.к. никто снаружи из-за роутера не пробовал "проломить" NAT.
В общем вполне реальное состояние, ничего особенного
В чем смысл транка между микротиком и циской? Если циска будет дхцп-сервером, не обязательно отдавать эти сети на микрот, можно сделать циску шлюзом внутренеих сетей и дать ей гейтом адрес микрота для выхода в интернеты. Внутренний трафик на микроте не будет виден, т.к. все широковещательные пакеты не выйдут из-за циски.
Объединяете все порты микротика в один бридж, включаете на нем Vlan filtering, создаете вланы поверх бриджа, применяете на порты - пример можно посмотреть тут
На основном роутере надо указать маршрут до сети 192.168.88.0/24 через внешний адрес Микротика. На микроте в файрволе должно быть правило разрешающее forward соединения с Wan -порта без NAT
Если 192.168.13.76 работает как шлюз для сети 10.222.231.0 - достаточно будет маршрута на нем до 192,168,0,0/24 через 192.168.13.1 и на том конце маршрут обратно - до 10.222.231.0/24 через туннель
Теоретически, второй впн может делать все что нужно, если ему никто не мешает. Если на вашем микротике настроен файрвол с запретами ходить из второго впн в локалку - надо будет править его. Надо бы посмотреть конфиг - Файрвол, Маршруты, Маркировку.