А я опытом поделиться хотел.
Задачка была, наверное, банальная: надо было сделать проброс портов на Микротике на внутренние ресурсы сети, но так, чтобы на эти внутренние ресурсы сети можно было заходить по интернетовскому доменному имени Микротика как из интернета, так и внутри сети. Обычный проброс портов "в лоб" работает только для обращений из интернета. При обращении внутри локальной сети по внешнему доменному имени получаем обломс. В интернетах нашлось 2 решения по NAT loopback: одно - прописать на DNS Микротика "Static DNS" domain.name -> Внутренний_IP_адрес_ресурса, и тогда все обращения по доменному имени внутри сети будут направляться на этот внутренний ресурс. Но это не подходит, когда внутренних ресурсов несколько, а не один, ведь "Static DNS" мы можем написать только для одного ресурса. Второе решение - Hairpin NAT, описанное в Wiki
http://wiki.mikrotik.com/wiki/Hairpin_NAT . Однако с ним тоже проблемы, если внешний IP адрес является динамическим и часто меняется (с доменным именем от dyndns, например). В Hairpin NAT, описанном в Wiki, в правилах NAT необходимо указывать внешний IP, что неприемлемо, когда он часто меняется. Поразмыслив, я придумал следующее "идеальное" решение, объединившее оба способа в один:
/ip dns static
add address=192.168.88.1 name=myname.dyndns.org
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade"
add action=netmap chain=dstnat comment=RDP dst-port=3389 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.88.2
add action=netmap chain=dstnat dst-address=192.168.88.1 dst-port=3389 protocol=tcp to-addresses=192.168.88.2
Т.е. прописываем в статический DNS сопоставление доменному имени внутреннего IP адреса роутера (а не внутреннего ресурса). Любой клиент внутри сети будет попадать на роутер по доменному имени.
В правиле для маскарадинга убираем out-interface. Маскарадиться будет не только внешний, но и внутренний интерфейс.
Прописываем 2 правила для форвардинга - одно для внешнего интерфейса ether1-gateway, а второе для внутреннего (для тех, кто будет попадать на роутер по статическому внутреннему IP dst-address=192.168.88.1). Таким образом мы избавляемся от необходимости непременно указывать внешний IP адрес в правилах NAT, который у нас часто меняется.
Такой подход проверен и успешно работает в моей сети. Он более универсален, чем описанные ранее, поэтому я решил поделиться опытом, может кому пригодится.
После полночи размышлений и рисования прохождения пакетов родилось такое вот решение, и работает же, и SMTP, и остальные внешние сервисы тоже :)