Стандартная сеть:
Интернет - Микротик - свитч - пользователи и сервера.
На сервера порты пробросил - захожу удаленно без проблем.
Свитч сделан на базе роутера с отключенным DHCP.

Из локальной сети захожу на него без проблем.
Из интернета ввожу айпи:порт считча - ЗАЙТИ НЕ МОГУ.
Делал маскарад на LAN, получилось зайти на веб морду свитча через инет, но после авторизации передается(меняется) внешний адрес на локальный в строке браузера (192.168.1.5) и соответственно зайти дальше не получается.
Выключаю маскарад - вообще никак не зайти. При этом порт проброшен и должен работать.
Где копать?

interminable, так, на вскидку.
Если роль свича исполняет роутер, то вполне вероятно у него и мозгов побольше и в области безопасности тоже.
Может он банально не поддерживает управление по WAN порту? Соотв. покопаться в настройках, посмотреть что да как. В то время как с LAN портов с управлением проблем не возникает.
Разумеется WAN/LAN порты именуются с точки зрения роутера.

lxa85,
В том, что и дело, что в роутере отключен DHCP и кабель воткнут в LAN. По сути он выполняет роль точки доступа\свитча.
В локальной сети в вебку захожу без проблем набираю айпи и порт. Из интернета - ноль. Но маскарадинг на LAN порту дал возможность попасть на вебморду, далее не дает т.к. подменяет айпи локальным.

interminable, а банально — зайти клиентом терминала на сервер, оттуда запускать браузер (я понимаю, конечно, что есть желание «рулить» напрямую). И таки проверьте:
управление по WAN порту? Соотв. покопаться в настройках, посмотреть что да как. »

Да какое там управление, там просто ТР-Линк 4300 с воткнутым в ЛАН порт каблом.