Как настроить Mikrotik так, чтобы выполнялись следующие требования?

Если отойти в сторону, то вся эта схема - полная дичь, с точки зрения маршрутизации. Может привести к нестабильной работе протокола который вы собираетесь так маршрутизировать. То что так можно сделать - не говорит о том, что это правильно.

Если вы изложите более детально задачу, то можно будет найти и более правильный ответ. Скорее всего, придется что-то переделать с маршрутизацией в сети.

На данный момент - это жесткий КОСТЫЛЬ!

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

1) add action=dst-nat chain=dstnat in-interface=ether1 to-addresses=192.168.7.1
Это правило пробрасывает порт (если быть точнее, то пробрасывает весь TCP трафик), на 7.1 при этом 7.1 видит что пакет пришел с 3.2 и т.к. у него нет маршрута в сеть 3.0 (и GW тоже нет), то он не знает куда отправлять ответ. Дале мы решает эту проблему маскарадом, правило 3.

2) add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.7.1
На 3.2 ответ прилетит от 7.1, от чего он конечно будет в ШОКЕ, т.к. запрос от отправил на 3.1. Мы решаем эту проблему этим правилом, маскирует пакет от 7.1 в сторону 3.2.

3) add action=masquerade chain=srcnat dst-address=192.168.7.1 src-address=192.168.3.0/24
Это правило маскирует пакет от 3.2 в сторону 7.1.

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

> И вот в случае с одним правилом - страница грузится медленнее и бывает не прогружаются картинки или не все, а с двумя правилами - все грузится моментально - как и положено в локальной сети

Как уже писал ранее, при одностороннем маскараде, PC1 обращается на 3.1, а ответы ему прилетают от 7.1 - конечно же возникают ошибки, т.к. он ждет ответ от 3.1. Ошибки это переотправка пакетов, что визуально выливается в медленную работу соединения.

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

Тогда поменять на

add action=masquerade chain=srcnat dst-address=192.168.7.1 src-address=192.168.3.0/24

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

Ошибки.

add action=masquerade chain=srcnat dst-address=192.168.7.1 out-interface=ether1
должно быть
add action=masquerade chain=srcnat dst-address=192.168.7.1 in-interface=ether1

Пинг ходить не должен.

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

Покажите вывод
/ip firewall export
/ip address export
/ip route export
/interface export

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

/ip firewall nat
add action=dst-nat chain=dstnat protocol=tcp in-interface=ether1 to-addresses=192.168.7.1
add action=dst-nat chain=dstnat protocol=tcp in-interface=ether2 to-addresses=192.168.7.1
add action=dst-nat chain=dstnat protocol=tcp in-interface=ether3 to-addresses=192.168.7.1

add action=masquerade  chain=srcnat  src-address=192.168.7.1 out-interface=ether1
add action=masquerade  chain=srcnat  src-address=192.168.7.1 out-interface=ether2
add action=masquerade  chain=srcnat  src-address=192.168.7.1 out-interface=ether3

add action=masquerade  chain=srcnat  dst-address=192.168.7.1 in-interface=ether1
add action=masquerade  chain=srcnat  dst-address=192.168.7.1 in-interface=ether2
add action=masquerade  chain=srcnat  dst-address=192.168.7.1 in-interface=ether3

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

Повторимся
> 7.1 все ответы шлет на GW, соответственно SRCNAT не нужен. Если бы не было GW, тогда нужен SRCNAT.
Нам надо маскировать (masquerade,SRCNAT) трафик в обе стороны.

masquerade и SRCNAT это практически одно и тоже.

SRCNAT надо указывать адрес для маскарада
masquerade берет адрес интерфейса через который выходит пакет согласно таблице маршрутизации

/ip firewall nat

add action=masquerade  chain=srcnat  src-address=192.168.7.1 out-interface=ether1
add action=masquerade  chain=srcnat  src-address=192.168.7.1 out-interface=ether2
add action=masquerade  chain=srcnat  src-address=192.168.7.1 out-interface=ether3

add action=masquerade  chain=srcnat  dst-address=192.168.7.1 in-interface=ether1
add action=masquerade  chain=srcnat  dst-address=192.168.7.1 in-interface=ether2
add action=masquerade  chain=srcnat  dst-address=192.168.7.1 in-interface=ether3

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

7.1 все ответы шлет на GW, соответственно SRCNAT не нужен. Если бы не было GW, тогда нужен SRCNAT.

Если вы будете использовать SRCNAT в сторону 7.1, то все клиенты для него будет видны как 7.2, а это крайне не удобно для диагностики проблем.

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

ALLIGATOR, Если все работает с одним правило, то скопируйте его 3 раза или укажите остальные интерфейсы.
Если вы не будете маскировать трафик (masquerade), то 3.2 (и остальные тоже) будет видеть, что ответ пришел от 7.1 и некоторым протоколам это может не понравиться (не будут работать).

/ip firewall nat 
add action=dst-nat chain=dstnat protocol=tcp in-interface=ether1 to-addresses=192.168.7.1
add action=dst-nat chain=dstnat protocol=tcp in-interface=ether2 to-addresses=192.168.7.1
add action=dst-nat chain=dstnat protocol=tcp in-interface=ether3 to-addresses=192.168.7.1


или
/ip firewall nat add action=dst-nat chain=dstnat protocol=tcp in-interface=ether1, ether2,ether3 to-addresses=192.168.7.1

Как настроить Mikrotik так, чтобы выполнялись следующие требования?

Можно, надо использовать DSTNAT

/ip firewall nat add action=dst-nat chain=dstnat protocol=tcp in-interface=ether1 to-addresses=192.168.7.1
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1
/ip firewall filter add action=accept chain=forward dst-address=192.168.7.1

Удаленный доступ в сеть к серверам?

george1313, pfSense = openVPN

И смените адресное пространство в сети 192.168.1.0/24. Почти все домашние роутеры находятся в этой же (192.168.1.0/24) сети, соответственно, у вас будут постоянные конфликты маршрутов при поднятии VPN.

Как настроить правила NAT чтоб работал почтовый сервер?

#1 шикарное правило! натить все пакеты в локальную сеть. Даже если они пришли из мира. Добавь в него in-interface-list=LAN

#3-8 правило, все правила проброса должны быть привязаны к интерфейсу. Иначе они начинают отрабатывать и для локального трафика.

> 530 SMTP authentication is required.
Логика проста. mail.ru стучится на 25 порт, если он закрыт, тогда он идет на следующий порт, а та муже авторизацию не просят. Поправь правила 3-8 и попробуй еще раз, если ошибка останется, смотри на свой mail сервере почему он просит авторизацию на 25 порту.

Как настроить правила NAT чтоб работал почтовый сервер?

> так почта будет использоваться не только внутренними пользователями.
При такой схеме, у всех будет работать.

> dstnat 25 порт, то отсылка не пашет.
У тебя порт привязан к интерфейсу как в моей примере?
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=25,465,587,110,995,143,993 in-interface=ether1 protocol=tcp to-addresses=192.168.111.251

Как настроить правила NAT чтоб работал почтовый сервер?

> на счет "лучше использовать DNS" не понял
- поднять на Микротике DNS
- раздавать этот DNS по DHCP клиентам сети.
- добавить в DNS запись, которая будет mail.example.com отдавать внутренний адрес на 192.168.111.251

Соответственно, все клиенты будут ходить на внутренний адрес в обход микротика.
Для всех записей dkim, spf, mx должно быть указано имя, а не IP.

Например
Внешний DNS
mail.example.com A 2.2.2.2
dkim mail.example.com
spf mail.example.com
mx mail.example.com

Mikrotik DNS
mail.example.com A 192.168.111.251

Это бессмысленная запись.
chain=input action=accept protocol=tcp dst-address-list=192.168.111.251 in-interface=ether1 dst-port=25,143,993,587,465 log=no

Это правило не отрабатывает, т.к. пакет который идет транзитом (forward) не попадает в цепочку INPUT.

Достаточно
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=25,465,587,110,995,143,993 in-interface=ether1 protocol=tcp to-addresses=192.168.111.251
/ip firewall
add action=accept chain=forward comment=mail dst-address=192.168.111.251 in-interface-list=ether1 protocol=tcp

И правило, что бы выпустить в интернет почтовый сервер

Как настроить правила NAT чтоб работал почтовый сервер?

chain=input action=accept protocol=tcp dst-address-list=192.168.111.251 in-interface=ether1 dst-port=25,143,993,587,465 log=no

Что это такое?
ether1 - наверное интерфейс провайдера. Тогда 192.168.111.251 должен быть изменен на белый IP.

hairpin nat - лучше использовать DNS.

Как настроить правила NAT чтоб работал почтовый сервер?

dst-port=465,587,110,995,143,993

25 порта не хватает.

Как настроить правила NAT чтоб работал почтовый сервер?

Ничего не путаете ? Хостинг

Может лучше схему нарисуете?

Возможна ли работа в VirtualBox c 2 компьютеров в ЛВС?

Мы тут точно про Microsoft Access говорим?
https://en.wikipedia.org/wiki/Microsoft_Access

Как настроить на Mikrotik VLAN, предоставленный провайдером?

И туда и туда)