У вас сейчас трафик идёт не так как вы ожидаете :)
При вашей схеме, ответ от 10.1.3.13 уходит по дефолт маршруту мик1 а не как вы ждёте что он пойдёт в тунель и в мик2 в результате клиенту приходит ответ с другого IP и он правомерно его отбрасывает.
Вам нужен или двойной нат или маркировка пакетов.
Попробуйте так сделать на мик1
маркировка
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=!10.1.3.0/24 \
new-routing-mark=ssh passthrough=yes protocol=tcp src-address=10.1.3.13 \
src-port=22
Роут
/ip route
add distance=1 gateway=L2TP_TUNNEL_NAME routing-mark=ssh
