В локальной сети есть web-сервер, который настроен на 80 порт. На Микротике №1 настроен DNAT, с помощью которого пробрасываю 80 порт с WAN на web-сервер. Адрес Микротика №1 192.168.100.254, а адрес web-сервера 192.168.100.100. Проброс работает замечательно, пока Микротик №1 и web-сервер в одной подсети:

/ip firewall nat add action=dst-nat chain=dstnat dst-address=1.2.3.4 dst-port=80 \ in-interface=eth10 protocol=tcp to-addresses=192.168.100.100 to-ports=80

Но как только я переключаю web-сервер на подсетку 192.168.200.0/24 (присваиваю ему адрес 192.168.200.100), проброс перестаёт работать:

/ip firewall nat add action=dst-nat chain=dstnat dst-address=1.2.3.4 dst-port=80 \ in-interface=eth10 protocol=tcp to-addresses=192.168.200.100 to-ports=80

Хотя на Микротике №1 в статических маршрутах я указал подсеть 192.168.200.0/24, а на Микротике №2 указал подсеть 192.168.100.0/24. Обе подсети без проблем доступны друг другу.

Почему перестаёт работать проброс после переключения web-сервера на другую подсеть? Web-сервер без проблем пингуется. В логах видно, что NAT работает. Но складывается ощущение, что ответ от web-сервера не приходит.

Схема для наглядности: