Maksim Herasim

Если взламывают устройство, то обычно делают reset, обновляют, настраивают. Скорее всего на какой до
6.21 прошивке сидели , где при определенных условиях можно было получить доступ в админку. И то, это нужно вообще не разбираться в микротиках чтоб так накосячить, не ограничивать доступ в винбокс/телнет/ssh , да и вообще ламерство какое то, таким людям нельзя давать микроты.
В вашем случае попробуйте найти инструкцию как сделать reset для вашей конкретной модели, а если уж как то и запороли то ищите мануал как прошивать через tftp

1.Меня сильно смущает наличие фастрак правил
2.так не видно, на 2,3,4 правилах установлен timeout ? Я обычно ставлю 2-3 секунды
3.drop all у вас идет выше разрешающего правила, либо в дроп олл выставит src.adress list != Knock_end, либо разрешающие правило повыше поставить.

Я думаю лучше поискать как отключить режим энергосбережения на самом принтере или отключить функцию перехода в сон.
На роутере ничего прописывать не надо, он либо работает либо нет, в данном случае проблему надо искать на конечном устройстве

создайте правило в firewall
Forward
Drop
To adr.list (ListName)
Out interface (wan)
Будет дропать все пакеты от адрес листа на интерфейс ether1

Ну, если предположим что у всех микротиков есть доступ в интернет, и у одного из этих микротов есть доступ белый IP , тогда на этом микроте поднимаете VPN и остальные микроты подключаете к этому. Далее, зная ip внутри vpn, каждого из микротов,вы сможете к ним подключиться когда сами подключитесь к этому vpn

Без ТЗ и результат ХЗ.
Я это к тому, что судя по тому что у вас написано - непонятно, куда вы хотите получить доступ. К какому то определенному сервису внутри ether2 ? Или вы хотите получать доступ ко всем устройствам внутри сети ether2 ? Микротик является шлюзом в сети ether2 ?
К примеру. Ваш микротик имеет ip 1.1.1.1 на порту1. На порту 2, у микрота ip адрес 192.168.15.4. в сети на порту2 допустим есть веб сервер 192.168.15.5 с открытыми портами 80 и 443, и вам нужно получить доступ к портам 80 и 443 через порт1 на микротике. Тогда это нужно сделать проброс портов на микроте, и если не ошибаюсь хитрое правило маскарадинга. Если же Вам не нужно в инет публиковать, а нужно иметь возможность получить доступ к машинам внутри сети 192.168.15.0/24 то на микротике настройте впн.

Если между сетями офиса и филиала разрешено ходить всему трафику, то нет, никакие правила настраивать не нужно больше. Если Вы используете политику ограничений и запрещаете всё, а потом разрешающими правилами даете доступ, тогда Вам вероятнее всего потребуется давать доступ эти порты надо смотреть в конфигах астериска, если используете freepbx 16 то там по дефолту примерно так : PJSIP 5060(udp\tcp?), CHAN_SIP 5160(udp\tcp?), PTR 10000-20000(udp\tcp?)
Как правило достаточно 5060 udp и диапазон 10000-20000 udp

Посмотрите в сторону Motorola RFS, конечно тоже не бюджет, но уж точно дешевле киски выходит.
Правда не знаю как сейчас обстоят дела с моторолками у нас в стране, раньше официальным поставщик была зебра а сейчас эрэрси занимается если верно помню...
Или, если совсем бюджетно, то смотреть в сторону ubiquiti, но с ними не работал, не знаю подходят ли Вам под все ваши задачи...