agpecam

У вас асимметричная маршрутизация - принтер идет к 172.31.31.152 через микротик, а 172.31.31.152 идет к принтеру непосредственно с WAN кинетика. Поэтому микротик видит какие-то левые SYN,ACK. Левые потому, что он не видел изначального SYN и, следовательно, SYN,ACKи не принадлежат к какому либо существующему соединению и они invalid

Правила в бытовых устройствах обычно работают с входящим трафиком. Так что, смысла фильтровать блокируемое устройство на интерфейсе WG нет никакого - для кинетика входящий трафик от устройства приходит с home segment.

Но. Например ютуб работает на этом устройстве, никчему больше я неподключен(К другому впн)
Собственно вопрос, почему так? Можно ли настроить политику так как нужно мне?
(У меня получилось ограничить доступ к ютуб и прочим сервисам на устройсвах только поставив ограничение на wg интерфейс в политиках)

Так получилось или не получилось? Ничего не понятно...

Мы не знаем достоверно как "обнюхиваются" приложение и телевизор. Broadcast-arp - это может быть просто следствием пробы определенных портов. Ок, если предположить, что приложение ищет в сети устройства определенного производителя по первым 3 октетам MAC, то значит оно сканирует все IP подсети, к которой подключено. Иных способов, кроме ARP запрос who has IP... для получения MAC протокол ARP не предполагает. В этом случае, во-первых, у вас телевизор в другой подсети, а во-вторых ARP-proxy на такой запрос ответит своим MAC, а не MAC телевизора с закономерными последствиями. Если ищет перебором IP : some port и в приложении нет возможности задать не свою подсеть - результат тот же.
Вам по сути нужно поместить сети офисов в один L2 сегмент, т. е. на микротиках сделать OpenVPN mode: ethernet, внести tap интерфейсы в bridge локальной сети и дать понять приложению, что удаленная сеть находится с ним в одном L2 сегменте, например, с помощью DHCP option 121, т. е. переделать всю сеть ради телевизора. Оно вам надо?