Юрий MikroTik

Значит не настроена маршрутизация. Поведение правильное.
Маскарад работает с соединениями и далее после выключения маскарада все работает пока это соединение не оборвется.

Разреши еще установленные и связанные соединения 1 правилом

/ip firewall filter
add action=accept chain=forward comment="accept est, rel, untr" connection-state=established,related,untracked

IP > DHCP Client отключить получение адресов
Tools > BTest Server
IP > DNS
IP > Neighbors поставить none и снять все галочки

Что отключать зависть от ситуации

Если без proxy-arp не работает - надо настраивать правильно. Ибо proxy-arp это мегакостыль, который не нужен в 99.9999999997% случаях

1. Отключить proxy-arp
2. Проверить маршрутизацию, чтобы не было по пути NAT

На взлом явно указывает наличие пользователя System в админке MikroTik
А DNS похоже на попытку блокировки ресурсов

Соединить 2 микрота другим протоколом, затем прокинуть маршруты.

1. Делаешь Vlan гостя
2. Изолируешь на firewall трафик
3. Ставишь точку доступа mikrotik в режиме caps Mode
4. Настаиваешь на RB2011 CAPsMAN

RB2011 очень старая и слабая железка - лучше обновиться например на RB5009

Думаю AD авторизация на VPN MikroTik решит проблему и ввод логина пароля не будут перебивать друг друга

Если низкая скорость по L2 - смотреть включён ли hw offloading
Если низкая по L3 - смотреть нагрузку на маршрутизаторе.
Если crs как L3 - на RouterOS 7 должен работать аппаратно

На сайте mikrotik.com есть таблица тестов IPsec
Если такой таблицы нет - то аппаратно не поддерживает и все упирается в мощность CPU
Теоретически arm быстрее, но относительно топового mmips будет слабее

В данном случае у RB760iGS есть аппаратный IPsec, но средний 50Мбит. Возможно в L009 появится прошивка с поддержкой аппаратного IPsec. Либо его мощности arm смогут больше, чем 50.

Для этой задачи лучше взять RB5009

1. Внутри влана провайдера не должно быть вообще ограничений. Проверь фаерволом доходит ли трафик.
2. Возможно включён маскарад всё во всё или ассиметричность маршрутизации.

ip firewall rules

В цепочке Forward делается правило разрешения, либо блокировки.

Куда его ставить - зависит от конфигурации

Нужен управляемый коммутатор, либо 3 коммутатора, иначе все придется делать на статике

Слишком запутанное описание, но похоже вариацию MultiWAN, которая работает на таблицах маршрутизации.

1. Сделать явно разрешающее правило до tcp:443 на адрес QNAP
2. Если правило срабатывает и открывается - починено!
3. Если правило срабатывает и не открывается - ковырять Firewall QNAP (как мегакостыль можно сделать NAT в сторону QNAP, чтобы он думал что обращение идет с его сети.)
4. Если правило не срабатывает - искать где теряется трафик
5. Возможен косяк с MTU на туннеле.

На каком пакете CAPsMAN?
Wireless не умеет роуминг
qcom умеет

Какая конфигурация?
Все проблемы что я видел - из-за неправильной настройки и расположения точек.

Найди какой Vlan используется на WiFi и создай его на Dlink тэгом в транковые порты и в сторону точек WiFi