Спасибо verhoum, сделал -все получилось. Странно конечно, но через чекбоксы в Winbox не хотело работать. Но встал еще один вопрос, и чувствую, сам его я не перееду.
Моя схема:
1. с микротика 192.168.1.1 раздается DHCP клиентам пулом 192.16.1.0-192.168.1.254 без привязки к мак адресу (сделано, чтобы они могли обмениваться информацией внутри сети, любой комп включенный в сеть получает IP)
2. Поднят pppoe сервер 10.2.2.1 и клиенты по паролю цепляются к микротику (получают второй IP PPPOE пула 10,2,2,2-10.2.2.254 тоже автоматом). Чтобы в случае чего отключать доступ клиентов в инет (по юзеру). + только при ПППОЕ соединении они выходят в Инет.
3. В firewall прописано правило блокирующее доступ 192.16.1.0 к ВАН интерфейсу (обычный drop по источнику).
4. Внешний IP получаю от провайдера Statiс.
Вопрос следующий: Если клиент подключается просто по DHCP и не поднимает PPPOE соединение, то UPnP работает без проблем. Как только пользователь подключает PPPOE, UPnP не работает. При тестах выключаю правило блокировки пользователей по IP в Firewall. Как прописать правила, чтобы при подключении по ПППОЕ работал UPnP?