Дмитрий

https://wiki.mikrotik.com/wiki/Hairpin_NAT

Кажется вам нужны PCQ очереди и правильное нарезание на подсети.

Порт? Протокол?
С такой исходной информацией только к гадалкам. Вангую мультикаст.

Что значит не сообщит? Netflow не знает ничего про файлы. Он оперирует пакетами передаваемыми по сети. Если кто-то качает "файл", то у вас будет куча записей "кто-кому-сколько_байт". Это если объяснять на пальцах
Если нужно мониторить не статистику использования, а нагруженность канала, то забирайте текущие цифры по SNMP.

Вам нужно посылать пакет на адрес:порт роутра и уже на нем делать правило forward в нужную сеть.
Смотрите аналогичные решения для использования wol из-вне локальной сети.

Мне видится только вариант поднятия своего ddns где-то снаружи, с которого будут тянуться адреса. Либо та же схема, но без полноценного ddns, просто файлик/сервис, который будет отдавать IP VPN сервера.
Соответственно апдейтить адрес средствами самого микротика, который выступает в роли VPN сервера.
P.S. Может есть возможность поговорить с провайдером на тему выделения одного статического (но серого) IP для VPN сервера?

Насколько я понимаю, оно зашито в прошивку и его нельзя сменить.
Разве что вы сможете найти где оно зашито и пересобрать прошивку.
Если это так критично, то можно попробовать связаться с разработчиками на офф форуме и запросить такую фичу.

1) Отключите дефолтного пользователя admin и не держите простых паролей.
2) Если не нужен ssh доступ из-вне, то отключите его совсем
3) Если вдруг шапочка из фольги не помогает, то настройке port knocking, чтобы до ssh было достучаться труднее.

От того что один тупой бот перестанет к вам стучаться, никакого толку. Банить каждого нового устанете. Просто не выставляйте наружу сервисы с дефолтным логином и простым паролем. В идеале, для ssh авторизация только по ключу.

Переносить лучше руками, использую команду export на прошлом устройстве. На новом сбросить конфиг и построчно импортнуть через терминал.
По результатам нужно будет настроить только wi-fi.
Но я бы вам посоветовал перед покупкой нового поиграться со старым.
1) Проверить или просто заменить БП (если не знаете как проверять)
2) Перешить используя netinstall и воссоздать конфиг с нуля, руками без копирования старого.

С самого микротика есть пинги до шлюза провейдера или внешних ресурсов?

Статья из вики работает. Проверяйте адреса, и очередность правил. Так же можно для проверки отключить ВСЕ правила фаервола, чтобы быть уверенным, что он тут не при чем.
P.S. и не забудьте, что в первом правиле у вас 192.168.2.1

Если "по ip" значит - достаточно собирать только ip адреса, то вам будет достаточно netflow. На микротике настраиваете отдачу, на коллекторе сбор и анализ. Если нужно без внешнего сервера обойтись, то придется поколдовать со скриптами.
forummikrotik.ru/viewtopic.php?f=16&t=3474 Там была еще одна тема про готовое решение, но ее найти с ходу не смог.

Скорее всего у вас проблема с маршрутизацией пакетов. Например такое может происходить, если запрос пришел через одного провайдера, а ответ был отправлен через другого провайдера. Проверяйте правильность настройки балансировки и смотрите как ходят пакеты в сети.

На словах все правильно сделано, на практике нужно видеть конфиг.
Если вы хотите избавиться от доступа между подсетями, то это лучше делать правилами файервола, а не удалением бриджа.

Либо отключить DNS allow-remote-requests, либо прикрыть 53 порт снаружи.
Ну а там смотря на какой порт ломятся. Просто ошибка с открытым 53 портом - самая популярная.

Читайте на тему netflow. Микротик экспортирует статистику, а там с ней уже можно делать что угодно.