DST-NAT в другую подсеть за mikrotik?

Спасибо опять сподвигли на поиск ошибки у себя в верном русле. Единственное ошибка в маскараде - порт тогда не 1080, а 80 указывать надо
/ip firewall nat add action=masquerade chain=srcnat dst-address=192.168.20.10 dst-port=80 protocol=tcp src-address=!192.168.10.0/24

Mikrotik несколько WAN: доступность по всем проброса порта dst-nat?

Виктор Бельский: да, все оказалось в шлюзе по умолчанию. Переключил новый шлюз основным - все ок

Mikrotik несколько WAN: доступность по всем проброса порта dst-nat?

Виктор Бельский: ну так ведь при пересылке пакета от 5.5.5.5 с 1.1.1.2 на шлюз 10.0.0.1 - он уже представляется как пакет от 10.0.0.2? На шлюзе 10.0.0.1 прописан маршрут 10.0.0.0\24 на интерфейсе 10.0.0.1

Mikrotik несколько WAN: доступность по всем проброса порта dst-nat?

Валентин Net: в исходном вопросе я указал, что сейчас в фаерволе все разрешено

Mikrotik несколько WAN: доступность по всем проброса порта dst-nat?

Виктор Бельский: прокидавал и к 192.168.2.10(хост находится в сети с микротом, за исключением, что у хоста шлюз сейчас другой 192.168.2.254)

Mikrotik несколько WAN: доступность по всем проброса порта dst-nat?

Виктор Бельский: crc-adr убрал, поведение не меняется. За шлюзом 10.0.0.1(тоже микрот подключенный провайдерским l2vpn) нет nat, простой маршрут в подсеть за ним - в локальной сети микрота ресурсы там доступны

Mikrotik несколько WAN: доступность по всем проброса порта dst-nat?

Виктор Бельский:
/interface list member
add interface=eth3_ISP2 list=if_WAN
add interface=eth4_ISP1 list=if_WAN
/ip address
add address=192.168.2.253/24 interface=localnet-177 network=192.168.2.0
add address=1.2.2.2/30 interface=eth4_ISP1 network=1.2.2.1
add address=10.0.0.2/24 interface=ether1 network=10.0.0.0
add address=1.1.1.2/30 interface=eth3_ISP2 network=1.1.1.1
/ip firewall filter
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=forward
add action=accept chain=output
add action=accept chain=input
/ip firewall mangle
add action=mark-connection chain=input in-interface=eth3_ISP2 new-connection-mark=WAN2_conn passthrough=yes
add action=mark-connection chain=input in-interface=eth4_ISP1 new-connection-mark=WAN1_conn passthrough=yes
add action=mark-connection chain=forward in-interface=eth3_ISP2 new-connection-mark=WAN2_conn passthrough=yes
add action=mark-connection chain=forward in-interface=eth4_ISP1 new-connection-mark=WAN1_conn passthrough=yes
add action=mark-routing chain=output connection-mark=WAN1_conn new-routing-mark=WAN1_route passthrough=no src-address=1.2.2.2
add action=mark-routing chain=output connection-mark=WAN2_conn new-routing-mark=WAN2_route passthrough=no src-address=1.1.1.2
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=if_WAN
add action=dst-nat chain=dstnat dst-port=10080 in-interface-list=if_WAN protocol=tcp to-addresses=10.0.1.10 to-ports=80
/ip route
add distance=1 gateway=1.2.2.1 routing-mark=WAN1_route
add distance=1 gateway=1.1.1.1 routing-mark=WAN2_route
add distance=1 gateway=1.2.2.1
add distance=2 gateway=1.1.1.1
add distance=1 dst-address=10.0.1.0/24 gateway=10.0.0.1

Mikrotik несколько WAN: доступность по всем проброса порта dst-nat?

Виктор Бельский: вписал аналогичные правила - и все равно не имею доступа по dstnat к внутренним хостам за роутером...может еще какие-то особенности?

Mikrotik несколько WAN: доступность по всем проброса порта dst-nat?

попробовал - не изменилось поведение