Maksim Herasim

создайте правило в firewall
Forward
Drop
To adr.list (ListName)
Out interface (wan)
Будет дропать все пакеты от адрес листа на интерфейс ether1

Ну, если предположим что у всех микротиков есть доступ в интернет, и у одного из этих микротов есть доступ белый IP , тогда на этом микроте поднимаете VPN и остальные микроты подключаете к этому. Далее, зная ip внутри vpn, каждого из микротов,вы сможете к ним подключиться когда сами подключитесь к этому vpn

Без ТЗ и результат ХЗ.
Я это к тому, что судя по тому что у вас написано - непонятно, куда вы хотите получить доступ. К какому то определенному сервису внутри ether2 ? Или вы хотите получать доступ ко всем устройствам внутри сети ether2 ? Микротик является шлюзом в сети ether2 ?
К примеру. Ваш микротик имеет ip 1.1.1.1 на порту1. На порту 2, у микрота ip адрес 192.168.15.4. в сети на порту2 допустим есть веб сервер 192.168.15.5 с открытыми портами 80 и 443, и вам нужно получить доступ к портам 80 и 443 через порт1 на микротике. Тогда это нужно сделать проброс портов на микроте, и если не ошибаюсь хитрое правило маскарадинга. Если же Вам не нужно в инет публиковать, а нужно иметь возможность получить доступ к машинам внутри сети 192.168.15.0/24 то на микротике настройте впн.

Если между сетями офиса и филиала разрешено ходить всему трафику, то нет, никакие правила настраивать не нужно больше. Если Вы используете политику ограничений и запрещаете всё, а потом разрешающими правилами даете доступ, тогда Вам вероятнее всего потребуется давать доступ эти порты надо смотреть в конфигах астериска, если используете freepbx 16 то там по дефолту примерно так : PJSIP 5060(udp\tcp?), CHAN_SIP 5160(udp\tcp?), PTR 10000-20000(udp\tcp?)
Как правило достаточно 5060 udp и диапазон 10000-20000 udp

Посмотрите в сторону Motorola RFS, конечно тоже не бюджет, но уж точно дешевле киски выходит.
Правда не знаю как сейчас обстоят дела с моторолками у нас в стране, раньше официальным поставщик была зебра а сейчас эрэрси занимается если верно помню...
Или, если совсем бюджетно, то смотреть в сторону ubiquiti, но с ними не работал, не знаю подходят ли Вам под все ваши задачи...