Коллеги, помогите плс разобраться. Есть две сети - моя и партнера. Связаны через инет по IP seq.

Коллеги, проблему не решил.
Добавил маршрут на 192.168.50.0/24 через бридж - ping 192.168.50.14 без указания интерфейса заработал. Но публикация портов по прежнему не работает. (

У Вас айписек чистый или поверх чего-то с интерфейсами и адресами?

Читсый, без интерфейсов и адресов.

Гм, а в чем тогда суть проброса портов, если у Вас есть связность между сетями?

Надо клиенту в интернете - он на схеме внизу - давать иногда сервисы "Сервера в LAN партнера". Очень желательно без vpn.

Тогда настраивайте дуалван на "микротик мой" с корректным возвратом пакетов прошедших дстНАТ

На обоих серверах запущены одинаковые сервисы. "Сервер LAN мой" пингует "Сервер LAN партнера" по внутреннему IP (туннель работает). Такжеc рабочих станций в моей LAN сервисы на "Сервере в LAN партнера" доступны.  Клиент в интернет через правила dst-nat подключается к сервисам на моём сервере, всё работает норм. Пробую в этих же правилах dst-nat  поменять To address на Сервер в LAN пратнера (с 192.168.59.100 на 192.168.50.14) - клиент сервисы не видит. Что-то я делаю не так, но не могу понять, что...

Уже сделано.

Вероятно где-то ошибка.

Сервисы с "Сервер LAN мой" доступны. Публикация портов с них работает. Связь между моим сервером и сервером партнера работает. Сервер партнера работает с рабочих станций моей длокальной сети. Не работает публикация портов сервера партнера. (

У партнера всего один канал, судя по схеме.
Если так, то проблема или в самом НАТ или в фильтре фаерволла.

Сервисы с "Сервер LAN мой" доступны. Публикация портов с них работает. Связь между моим сервером и сервером партнера работает. Сервер партнера работает с рабочих станций моей длокальной сети. Не работает публикация портов сервера партнера. (

В файерволе все drop отключены. Какая проблема может быть с NAT, если меняю только IP -адрес в поле Action - To address ?

Вы же в dst-nat меняете destination адрес, при этом пакет уходит по IPSec туннелю в сторону чужого сервера, а обратно он возвращается напрямую к клиенту, не через IPSec туннель, source адрес то там клиента остаётся, может быть RPF check выполняется на сервере удалённом?

Сообразил. Сейчас подменю и сорс адрес в этом пакете.