Игорь

Вопрос решился. Сейчас я не рядом с оборудованием. Возможно, как буду, картинок понакидаю. Но суть в следующем. На hAP Lite в панели управления Webfig на странице Quick Set я увидел чек-бокс с именем "Bridge all LAN". Галочки там не стояло. Я задумался - как это так, если я вручную все порты запихнул в бридж? Оказалось, что не все.
Как я писал:

При этом на MikroTik hap Lite к существующему по-умолчанию bridge-local (который создался при зажатии reset на устройстве для сброса в дефолтные настройки) добавил wlan1 и убрал DHCP сервер.

Т.е. ether1 у меня не был в бридже.

ether1 был указан в DHCP client. Здесь же (в DHCP client) был указан wlan1, которому и выдавался 192.168.3.204.

Итоговое решение:
1. ether1 добавляем в бридж. Я сделал это в панели управления Webfig на странице Quick Set, отметил галочкой напротив поля "Bridge all LAN". Хотя это не единственный способ
2. В DHCP client деактивировал запись насчёт ether1
3. В DHCP client wlan1 заменил на bridge_local

Решением оказался вариант, описанный @Seven88 в комментарии:

Если машине с адресом 192.168.4.12 не нужно иметь доступ в .4.0/24 подсеть, то почему бы не использовать на этой машине другую подсеть, а на микротике разрулить правилами?

Спасибо, разобрался сам. Оказывается, стояло правило в firewall:

Chain=input Action=drop

В итоге роутер посылал пакеты, а вот обюратные не доходили до него - он их отбрасывал. Поэтому "считал", что удалённый узел недоступен.

Решение: добавил выше обозначенного правила ещё одно:

Chain=input Connection-state=established Action=allow

В итоге роутер "увидел" интернет, и по прежнему все входящие блокирует, как я и хотел