На сайтах подобных программ всегда пишется какие порты оно использует. Блокируйте на микротике все подключения на эти порты.
Как вариант, мы боролить с тимвьюером с помощью днс - на днс-сервере локалки адрес teamviewer.com резолвили на адрес роутера или 127.0.0.1

Роутеру пропишите статический маршрут до сети 10.8.0.0/24 (или какая там маска) через 192.168.1.x (адрес вашего ПК). И на самом ПК должна работать маршрутизация

На основном роутере надо указать маршрут до сети 192.168.88.0/24 через внешний адрес Микротика. На микроте в файрволе должно быть правило разрешающее forward соединения с Wan -порта без NAT

На L3 спокойно поднимаются 2 влана - для офисной сети и для наблюдения. Между ними - файрвол, для распределения доступов. Неуправляемые коммутаторы спокойно поживут в отдельной сети. L3 вполне сможет сам держать ДХЦП для двух сетей

Попробуйте ключ -cmin