Тут надо копать в сторону домена в офисе (если конечно он есть) и через него разрешить данные подсети, как разрешённые. Если домена нет, то делать это на каждом компьюторе.
Насчёт NAT. Представте, что у каждого пакет, идущего в туннель, меняется source ip address. Это очень сильно сказывается на производительности. Лично я так делал, только для того, чтобы на клиентском устройстве скрыть маршруты до моих внутренних сетей, где нет DMZ. То что вы предлагает это костыль.
В любом случае я не знаю, какие задачи у вас решаются, и зачем натянут SSTP вместо привычного GRE или EoIP (раз это два микротика). Поэтому далее два правила ната, ответ на ваш вопрос.
Для роутера с адресом туннеля 172.16.30.1:
ip firewall nat add chain=srcnat in-interface="интерфейс sstp-туннеля1" dst-address=192.168.0.0/24 action=src-nat to-addresses="адрес микротика1"
Для второго соответственно:
ip firewall nat add chain=srcnat in-interface="интерфейс sstp-туннеля2" dst-address=192.168.13.0/24 action=src-nat to-addresses="адрес микротика2"