Wexter

зачем такие извращения?
на основном dst-nat с 80 порта белого адреса на 80 порт второго.
а дальше либо у второго прописываете дефолт шлюзом первый, либо прописываете дефолт маршрут через основной с маркировкой(например main),
в mangle делаете mark connection (например from_main) на трафик приходящий от основного, на выходе соединениям с меткой from_main делаете mark routing с меткой main, чтобы трафик пошёл обратно на основной.

https://geektimes.ru/post/186284/
https://habrahabr.ru/post/244385/

на mk2 пропишите дефолт шлюзом mk1 с роут маркой mk1
в mangle маркируйте весь трафик приходящий на mk2 от mk1 и вешайте роут метку mk1

Потому что CRS это управляемый свич с прошивкой роутера и ему не хватает мощности для раздачи интернета, вам нужен настоящий роутер из линейки rb/ccr

wiki.mikrotik.com/wiki/Hairpin_NAT

Если в конец добавляете drop всех остальных, то нужно перед ним добавлять accept input нужных портов/протоколов для проброса

crs226 не роутер, это l3 свич и файрвол очень сильно грузит его, идеальным вариантом будут access порты на crs226 и trunk на что-нибудь более мощное хотя бы rb750(G)r2/r3.
В вики микротика есть достаточно понятная инструкция по настройке vlan, лучше читать на английском языке, будет понятнее
wiki.mikrotik.com/wiki/Manual:CRS_examples#VLAN