Правильный NAT

Чтобы дать выход в Интернет устройствам, нужно настроить NAT.
Такую настройку большинство делает не правильно, что не сказывается на работе домашней сети, но создает проблемы с MultiWAN и множеством сетей.

Для начала определимся какой IP адрес дает провайдер.
Если постоянно один и тот же, то нужно использовать src-nat
Если каждый раз IP адрес меняется, либо может поменяться — используем masquerade

Определяем на каком порту подключен провайдер. В моем случае FE1-WAN1

Какую сеть будем выпускать в Интернет? В дефолтной конфигурации не указывается, но это сильно не влияет. Но в рабочей сети это важно. Моя сеть имеет адресацию 172.16.0.0/24

Вкладка General
Общая настройка для двух вариантов.
Цепочка srcnat
Src. Address: 172.16.0.0/24 Какой сети NAT’им адреса
Out. Interface: FE-WAN1 порт, куда подключен провайдер
Вкладка Action
To Addresses: Ваш IP На какой IP «подменять» запросы из сети
Используется если выдаваемый от провайдера IP адрес не меняется
Аналогично верхнему скриншоту, но если IP адреса от провайдера меняется
Action: masquerade

NAT нужно настраивать отдельно для каждого провайдера и желательно для каждой сети!

Экспорт двух вариантов

/ip firewall nat
add action=src-nat chain=srcnat ipsec-policy=out,none out-interface=FE1-WAN1 \
    src-address=172.16.0.0/24 to-addresses=ВашIP
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=FE1-WAN1 \
    src-address=172.16.0.0/24