Шамиль

все оказалось куда прозаичнее - установил ivms 4200 lite - он почему-то воспроизвел архив

в общем, если вдруг кто когда будет гуглить по теме, как настроить hmailserver за mikrotik:
1. создаете правила в NAT:
chain=dstnat action=dst-nat to-addresses=<локальный IP почтового сервера> to-ports=25 protocol=tcp dst-address=<внешний IP> in-interface= dst-port=25
и так далее для портов 110, 143, 465, 587, 993, 995 (в зависимости от того какой используете)
2. и самое главное - на стороне hmailserver главное убрать галочки требовать авторизацию

3. ну и в фильтрах файрвола разрешите трафик по этим портам

проблема была в том что бэкап битый оказался, восстановили заново - и норм заработало

дело в вас - для интереса можете настроить через quick set

Павел Селиванов в общем, с утра и так и сяк пробовал, и решил изменить в конфиге cipher вместо AES-256-CBC использовал AES-128-CBC. не знаю с этим ли оно связано - но вот уже 10 мин. полет нормальный

глянь через бридж, там покажет локальные адреса

на wp можно узнать какой шаблон, а дальше только уже по опыту - где да какой модуль применен

роутер устал, однозначно.
у меня служил он верой и правдой 3 года, затем начались частые глюки, перестал выдавать положенные скорости, и не выдерживал ~10 одновременных клиентов.
поставил асус rt-n16 с 3 антеннами, и все - ни моросни, ни проблем с обновлением (сам умеет обновлять себя)