ТЕМА: 3 статик ip от пров-ра на 1 инт-се и маршрутизация

Провайдер в итоге дал мне 3 порта. соответственно задача сменилась на сопоставление групп пользователей (без привязки к конкретным физ. интерфейсам) и исходящего/входящего трафика через определённый для группы интерфейс, подключенный к оборудованию провайдера (IP, Gateway, DNS). 3 группы пользователей <=> 3 порта к провайдеру. Помимо этого в сети есть несколько общих папок, к которым необходим доступ всех групп пользователей и несколько сетевых МФУ также общего пользования.
Вариант первый (не заработал - В нате создал 3 правила маскарадинга:
/ip firewall nat
add action=masquerade chain=srcnat comment="Group1" out-interface=sfp-sfpplus16 src-address=192.168.1.10-192.168.1.199
add action=masquerade chain=srcnat comment="Group2" out-interface=sfp-sfpplus16 src-address=192.168.2.10-192.168.2.199
add action=masquerade chain=srcnat comment="Group3" out-interface=sfp-sfpplus16 src-address=192.168.3.10-192.168.3.199
В DHCPсервере вписаны соответственно 3 подсети (192.168.1.0;192.168.2.0;192.168.3.0)
Бриджу заданы 3 статических адреса в 3 подсетях (192.168.1.250, ..2.250, ..3.250), также на входящих портах заданы адреса от провайдера.
и общий маршрут на шлюзы за 3 интерфейсами:
/ip route
add check-gateway=ping distance=1 gateway=217...1,217...2,217...3. (соответственно адреса шлюзов от провайдера)
шлюзы видятся в маршруте (показывает за которым интерфейсом он доступен), пингуются, но пинг на 8.8.8.8 через них не идет ни с маршрутизатора, ни с машин. Счётчики трафика тем не менее тикают на интерфейсах довольно активно.
Буду признателен за советы, как я уже говорил я как админ еще зелен и до мастера кунфу мне в этом вопросе далеко =)

Забыл сказать, адреса бриджа (1.250,2.250,3.250) в DHCP вписаны в качестве шлюза для машин

Итог, перекопал пачку мануалов, нашел решение как для самой первой, так и для последней задачи:
1. Очистил коробку, завел пароль, дал бридж с 3 статиками (по числу нужных маршрутов во внеху), создал интерфейс-листы с именем WAN и LAN(в конфе по-умолчанию они вроде есть, но я ее удалил на всякий) добавил интерфейсы (их может быть несколько или один - мой провайдер не смог изолировать на своем оборудовании шлюзы и трафик, чтоб было на 1 порту всё , итого их 3 ), смотрящие в провайдера к интерфейс-листу WAN, локальные - соответственно в LAN.
2. Поднял DHCP с 3 подсетями, прибил машины в аренде по сочетанию мак+ип, перекинул все, что не должно ходить наружу (принтеры, принтсервера, камеры в.наблюдения и прочее подобное в адреса, которые не планирую разрешать в маршрутах наружу
3. Ip-Firewall-Address Lists: У меня 3 локальных подсети (А,В,С) с предназначенными им 3 белыми ип-ами и шлюзами к ним от провайдера. Создал 3 адрес-листа (А,В,С) для них в выделенных в DHCP подсетях, исключая то, что не будет ходить в WAN. Создал адрес-листы с BOGON (все с одним названием, в моем случае BOGONs) подсетями (что позволяет, насколько я понимаю, изолировать локальный трафик от трафика с внехой, опишу чуть дальше) Список BOGON-ов: 0.0.0.0/8, 10.0.0.0/8, 100.64.0.0/10, 127.0.0.0/8, 169.254.0.0/16, 172.16.0.0/12, 192.0.0.0/24, 192.0.2.0/24, 192.168.0.0/16, 198.18.0.0/15, 198.51.100.0/24, 203.0.113.0/24. Весь конечно список может и не понадобиться, но они жрать не просят, и я не могу гадать, что у меня еще будет тут реализовываться, поэтому вбил все. Это по сути адреса, которые не маршрутизируются в инете, т.е. их там не должно быть, они для локальных сетей (намёк: локалка должна лежать в богоне).
4. Ip-Firewall-Mangle: Создаём по 2 правила на кждый адрес лист для подсетей, выпускаемых в инет с соблюдением очередности. Первое: вкладка дженерал - цепочка прероутинг; вкладка эдванст - срц-адреслист - адреслистА, дст-адреслист - ! (в квадратике рядом воскл.знак означает исключение "НЕ") - адреслистBOGONs; вкладка экшн - экшн - роут, дст-адрес - адрес шлюза(для ип-а назначенного провайдером к нашей подсети А), пасстру - галочка. Второе: вкладка дженерал - цепочка прероутинг, срц-адрес - адрес подсети в DHCP (той, в которой лежит адреслистА, не совсем уверен, что это правильно, но работает); вкладка эдванст - дст-адреслист - !(опять же в квадратике) - адреслистBOGONs; вкладка экшн - экшн - роут, дст-адрес - адрес шлюза(для ип-а назначенного провайдером к нашей подсети А), пасстру - галочки НЕТ. таким же манером настраиваю правила третье, четвертое, пятое и шестое (нечетные - как первое, четные - как второе для соответственно B и С, богоны везде одинаково.
5. Ip-Firewall-NAT: создаем правила маскарадинга (опять же в конфе по умолчанию оно присуйствует, но я все удалил, и с общим правилом для интерфейслиста WAN у меня проброс портов заработал только с экшн нетмап, поэтому решил сделать поуниверсальнее) по числу внешних интерфейсов, которые указываем в аут-интерфейсе (конкретно сами интерфейсы, не список), цепочка срцнат, экшн маскарэйд, больше ничего. В моем случае их 3
6. Ip-Routes: создаем маршрут на 0.0.0.0/0 с указанием всех шлюзов (в моем случае их три, но могут быть варианты), проверку ставим пинг, оставляем уникас и всё прочее.
7. Для надёжности проверки полностью перегружаем коробку, тестируем. 2ip.ru с машин в А,В и С после переподключения сети исправно показывает соответственные внешние адреса. Ваня молодец, град аплодисментов
В принципе потом я завёл через нат то, к чему нужен доступ из внехи по адресам и портам, в фаерволле раздал кое-кому кое-какие запреты, закрыл неиспользуемые шлюзы и создал капсмана для вафли, но это уже при реализованном мультиване.

Большое спасибо всем написателям путанных гайдов по мультивану, синтез ваших бредовых идей помог родиться чему-то работающему.