Как настроить Mikrotik так, чтобы выполнялись следующие требования?

Ошибки.

add action=masquerade chain=srcnat dst-address=192.168.7.1 out-interface=ether1
должно быть
add action=masquerade chain=srcnat dst-address=192.168.7.1 in-interface=ether1

Пинг ходить не должен.

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

Покажите вывод
/ip firewall export
/ip address export
/ip route export
/interface export

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

/ip firewall nat
add action=dst-nat chain=dstnat protocol=tcp in-interface=ether1 to-addresses=192.168.7.1
add action=dst-nat chain=dstnat protocol=tcp in-interface=ether2 to-addresses=192.168.7.1
add action=dst-nat chain=dstnat protocol=tcp in-interface=ether3 to-addresses=192.168.7.1

add action=masquerade  chain=srcnat  src-address=192.168.7.1 out-interface=ether1
add action=masquerade  chain=srcnat  src-address=192.168.7.1 out-interface=ether2
add action=masquerade  chain=srcnat  src-address=192.168.7.1 out-interface=ether3

add action=masquerade  chain=srcnat  dst-address=192.168.7.1 in-interface=ether1
add action=masquerade  chain=srcnat  dst-address=192.168.7.1 in-interface=ether2
add action=masquerade  chain=srcnat  dst-address=192.168.7.1 in-interface=ether3

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

Повторимся
> 7.1 все ответы шлет на GW, соответственно SRCNAT не нужен. Если бы не было GW, тогда нужен SRCNAT.
Нам надо маскировать (masquerade,SRCNAT) трафик в обе стороны.

masquerade и SRCNAT это практически одно и тоже.

SRCNAT надо указывать адрес для маскарада
masquerade берет адрес интерфейса через который выходит пакет согласно таблице маршрутизации

/ip firewall nat

add action=masquerade  chain=srcnat  src-address=192.168.7.1 out-interface=ether1
add action=masquerade  chain=srcnat  src-address=192.168.7.1 out-interface=ether2
add action=masquerade  chain=srcnat  src-address=192.168.7.1 out-interface=ether3

add action=masquerade  chain=srcnat  dst-address=192.168.7.1 in-interface=ether1
add action=masquerade  chain=srcnat  dst-address=192.168.7.1 in-interface=ether2
add action=masquerade  chain=srcnat  dst-address=192.168.7.1 in-interface=ether3

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

7.1 все ответы шлет на GW, соответственно SRCNAT не нужен. Если бы не было GW, тогда нужен SRCNAT.

Если вы будете использовать SRCNAT в сторону 7.1, то все клиенты для него будет видны как 7.2, а это крайне не удобно для диагностики проблем.

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

ALLIGATOR, Если все работает с одним правило, то скопируйте его 3 раза или укажите остальные интерфейсы.
Если вы не будете маскировать трафик (masquerade), то 3.2 (и остальные тоже) будет видеть, что ответ пришел от 7.1 и некоторым протоколам это может не понравиться (не будут работать).

/ip firewall nat 
add action=dst-nat chain=dstnat protocol=tcp in-interface=ether1 to-addresses=192.168.7.1
add action=dst-nat chain=dstnat protocol=tcp in-interface=ether2 to-addresses=192.168.7.1
add action=dst-nat chain=dstnat protocol=tcp in-interface=ether3 to-addresses=192.168.7.1


или
/ip firewall nat add action=dst-nat chain=dstnat protocol=tcp in-interface=ether1, ether2,ether3 to-addresses=192.168.7.1

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

Можно, надо использовать DSTNAT

/ip firewall nat add action=dst-nat chain=dstnat protocol=tcp in-interface=ether1 to-addresses=192.168.7.1
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1
/ip firewall filter add action=accept chain=forward dst-address=192.168.7.1

Удаленный доступ в сеть к серверам?

george1313, pfSense = openVPN

И смените адресное пространство в сети 192.168.1.0/24. Почти все домашние роутеры находятся в этой же (192.168.1.0/24) сети, соответственно, у вас будут постоянные конфликты маршрутов при поднятии VPN.

Как настроить правила NAT чтоб работал почтовый сервер?

#1 шикарное правило! натить все пакеты в локальную сеть. Даже если они пришли из мира. Добавь в него in-interface-list=LAN

#3-8 правило, все правила проброса должны быть привязаны к интерфейсу. Иначе они начинают отрабатывать и для локального трафика.

> 530 SMTP authentication is required.
Логика проста. mail.ru стучится на 25 порт, если он закрыт, тогда он идет на следующий порт, а та муже авторизацию не просят. Поправь правила 3-8 и попробуй еще раз, если ошибка останется, смотри на свой mail сервере почему он просит авторизацию на 25 порту.

Как настроить правила NAT чтоб работал почтовый сервер?

> так почта будет использоваться не только внутренними пользователями.
При такой схеме, у всех будет работать.

> dstnat 25 порт, то отсылка не пашет.
У тебя порт привязан к интерфейсу как в моей примере?
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=25,465,587,110,995,143,993 in-interface=ether1 protocol=tcp to-addresses=192.168.111.251

Как настроить правила NAT чтоб работал почтовый сервер?

> на счет "лучше использовать DNS" не понял
- поднять на Микротике DNS
- раздавать этот DNS по DHCP клиентам сети.
- добавить в DNS запись, которая будет mail.example.com отдавать внутренний адрес на 192.168.111.251

Соответственно, все клиенты будут ходить на внутренний адрес в обход микротика.
Для всех записей dkim, spf, mx должно быть указано имя, а не IP.

Например
Внешний DNS
mail.example.com A 2.2.2.2
dkim mail.example.com
spf mail.example.com
mx mail.example.com

Mikrotik DNS
mail.example.com A 192.168.111.251

Это бессмысленная запись.
chain=input action=accept protocol=tcp dst-address-list=192.168.111.251 in-interface=ether1 dst-port=25,143,993,587,465 log=no

Это правило не отрабатывает, т.к. пакет который идет транзитом (forward) не попадает в цепочку INPUT.

Достаточно
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=25,465,587,110,995,143,993 in-interface=ether1 protocol=tcp to-addresses=192.168.111.251
/ip firewall
add action=accept chain=forward comment=mail dst-address=192.168.111.251 in-interface-list=ether1 protocol=tcp

И правило, что бы выпустить в интернет почтовый сервер

Как настроить правила NAT чтоб работал почтовый сервер?

chain=input action=accept protocol=tcp dst-address-list=192.168.111.251 in-interface=ether1 dst-port=25,143,993,587,465 log=no

Что это такое?
ether1 - наверное интерфейс провайдера. Тогда 192.168.111.251 должен быть изменен на белый IP.

hairpin nat - лучше использовать DNS.

Как настроить правила NAT чтоб работал почтовый сервер?

dst-port=465,587,110,995,143,993

25 порта не хватает.

Как настроить правила NAT чтоб работал почтовый сервер?

Ничего не путаете ? Хостинг

Может лучше схему нарисуете?

Возможна ли работа в VirtualBox c 2 компьютеров в ЛВС?

Мы тут точно про Microsoft Access говорим?
https://en.wikipedia.org/wiki/Microsoft_Access

Как настроить на Mikrotik VLAN, предоставленный провайдером?

И туда и туда)

Как настроить на Mikrotik VLAN, предоставленный провайдером?

Получается, что в основном офисе надо сделать два интерфейса 500 и 600.
Тогда это должны как-то так

Филиал_1
/interface vlan
add interface={ИНТЕРФЕЙС ПРОВАЙДЕРА} name=vlan500 vlan-id=500
/ip address
add address=100.100.105.2/24 comment=Office_main interface=vlan500 network=100.100.105.0


Филиал_2
/interface vlan
add interface={ИНТЕРФЕЙС ПРОВАЙДЕРА} name=vlan600 vlan-id=600
/ip address
add address=100.100.106.2/24 comment=Office_main interface=vlan500 network=100.100.106.0


Главный офис
/interface vlan
add interface={ИНТЕРФЕЙС ПРОВАЙДЕРА} name=vlan500 vlan-id=500
add interface={ИНТЕРФЕЙС ПРОВАЙДЕРА} name=vlan600 vlan-id=500

/ip address
add address=100.100.105.1/24 comment=Branch1 interface=vlan500 network=100.100.105.0
add address=100.100.106.1/24 comment=Branch1 interface=vlan600 network=100.100.106.0

Как вместо "кабельного интернета" который эмульируется из wifi на ноутбуке сделать чтоб в системе был именно wifi с тем контроллером что на ноутбуке?

Как пробросить WIFI адаптер в виртуальную машину) - так и вбивай в google.com

Сложно, но можно. Но я бы выбрал USB WIFI.

Наверное Kali кто-то тестит.

Как настроить на Mikrotik VLAN, предоставленный провайдером?

{ИНТЕРФЕЙС ПРОВАЙДЕРА} - vlan500 это не одно и тоже.

{ИНТЕРФЕЙС ПРОВАЙДЕРА} - это интерфейс микротика, в который подключен интернет провайдер.

Конфигурация виртуальных хостов apache не применяется?

1) Можно
2) Первый по списку (sudo apache2ctl -S). Как не странно..