Например:
/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.130.0/24 out-interface-list=WAN_iface
О чем говорит это правило? Маскарадить трафик из подсети 192.168.130.0/24 только в том случае, если трафик выходит через интерфейсы в интерфейс-листе WAN_iface. То есть в интернет. Думаю тут не сложно
Значит у пользователей будет интернет, так как для него есть нат, и будет работать доступ к\из впн тунеля, так в этом случае нат не сработает и будет чистая маршрутизация.
В вашем случае с общим правилом маскарада микрот делает нат ДЛЯ ВСЕГО трафика из этой подсети. Поэтому работает интернет, но не работает трафик в\из впн или наоборот. Вот это надо понимать, чтобы не возникало вот таких вопросов: