Напрямую с ноутбука действительно всё работает, а с роутера так и не хотело работать
Прошло несколько дней попыток разобраться в чем же проблема у роутера и вот что нашлось
Неработающие сайты в рунете [avito, habr] (на которые я жаловался ранее) расположены в подсетях компании Qrator Labs, которая занимается защитой от DDOS атак и которая по определенному кол-ву правил каким-то образом определяет «плохих» посетителей в тч на основании параметра MSS протокола TCP
Эта проблема как-то связана, видимо, ещё и системой ТСПУ, потому что часть IP адресов подсетей Qrator Labs находится в списках блокировок РКН.
Например, у меня не открывался сайт habr.com, который резолвится 178.248.237.68, в то же время подсеть 178.248.236.0/23 является заблокированной на ТПСУ в результате суммаризации префиксов.
В общем, проблема на роутере микротик решается следующей командой:
/ip firewall mangle
add action=change-mss chain=forward new-mss=1380 out-interface=ether1 protocol=tcp tcp-flags=syn tcp-mss=1381-65535
Видимо, проблема кроется в увеличении параметра MSS при прохождении дополнительной forward цепочки сначала у меня на роутере, затем на вашем оборудовании (ТПСУ + DST-NAT для внешнего IP) и в конечном итоге попадая на фаерволы крупных компаний типа Qrator/Avito/Ozon/Wb проверяется измененный параметр MSS и по нему каким-то образом отсекаются пакеты и не происходит соединения
Потому что, логически, если я выставлял у себя на роутере 201 адрес (к которому НЕ привязан внешний IP) — у меня работали все сайты.
А добавляя в эту цепочку ваш DST-NAT, видимо, менялся MSS и поэтому отсекались некоторые сайты