Пришло время соединять уже офисы. Для начала поднимем GRE-туннели. Это правильно с точки зрения отлавливания проблем, потому что если начать с IPSec, и GRE не взлетит, придется разбираться кто из них виноват. Потом обернем их в IPSec в транспортном режиме и запустим внутри OSPF. GRE на микротике настраивается до безобразия просто. В интерфейсах переходим в раздел GRE Tunnel и жмем плюсик. Из настроек нас будут интересовать локальный внешний адрес и внешний же адрес удаленной железки. IPSec Secret не указываем, поскольку дважды шифровать данные смысла не имеет...

Проброс порта делается исключительно через dstnat, и никак иначе, никаких netmap — он нужен совершенно для других задач. Экспорт: /ip firewall nat add action=dst-nat chain=dstnat comment="DstNat to 80" dst-port=81 \ in-interface=GE1-WAN1 protocol=tcp \ to-addresses=172...