x2go + mikrotik

это вообще что-то на уровне фонарика китайского же...

микротики сделаны ровно из того же говна, что и туполинки
только обмазаны сверху еще и своим кривым говном

переделанный линукс внтури

с хрена ли «переделанный», везде одинаковый, просто где-то обвязка - говнище, как на микротиках, где-то вообще отсутствует (как на туполинках, которые без опенврт не рассматриваются в принципе), где-то сделана более-менее качественно, как на девайсах убиквити. Особняком тут стоят более «взрослые» решения киски и джунипера, и то не все.

Ну что там? Отключи при проверке все не нужные правила в nat и оставь только с пробросом ssh, сбрось conntrack на микротике и после этого проверяй. Версию микротика напиши. Не пойму у тебя через микротик работало или нет?

add action=dst-nat chain=dstnat comment="dmz for akron-2 srv (x2go doesn't work)" disabled=yes log-prefix="" \
    to-addresses=192.198.0.238

все остальное работает. и ssh на 0.238 работает. и nx работает на 0.237. Нет, через этот микротик не работал x2go. Версия rb951g-2HnD. Правило вообще максимально кривое, но если его включить, то x2go работает, но перестают пинговаться имена во всей сети. Посмотрел шарком, в процессе установки соединения ничего кроме ssh-порта не фигурирует. Пробовал поставить этот сервер за обычный шлюз на centos. в iptables пробросил порт для ssh и все работает. Меня этот микротик с ума сведет)

посмотри текущею версию прошивки через system routerboard print и попробуй обновиться до последней версии(это первое что рекомендуют пользователи микротика). По их вики у них похоже фаервол от версии к версии меняется иначе не вижу причин указывать версию прошивки в примерах.

Получается что микротик всё-таки дно?

in-interface=ether1

какого года этот бред? в микротиках уже давно не используется мастер-слейв интерфейс и всё на бриджах.
правила читать вообще невозможно.
короче, тебе всего-то нужно прокинуть 22 порт? на микротике который наконфигурировали школьники десять лет назад? поздравляю, ты попал.
для начала нужно его обновить, переделать всю конфигурацию под современные реалии.
а потом сделать всего две вещи:

/ip firewall mangle
add action=mark-connection chain=prerouting comment=redirect_to_0_238 connection-state=new dst-port=2222 in-interface=bridge-wan new-connection-mark=redirect_to_0_238 passthrough=no protocol=tcp

/ip firewall nat
add action=dst-nat chain=dstnat comment=redirect_to_0_238 connection-mark=redirect_to_0_238 protocol=tcp to-addresses=192.198.0.238 to-ports=22

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=22 in-interface=pppoe-out1 protocol=\
    tcp to-addresses=192.168.88.200 to-ports=22

если еще нужен Hairpin NAT то сюда https://wiki.mikrotik.com/wiki/Hairpin_NAT

Собственно, предлагаю начать с отключения всех правил в /ip firewall filter и /ip firewall nat. После создайте в /ip firewall nat два правила:

add action=masquerade chain=srcnat src-address=Х.Х.Х.Х/ХХ
add action=dst-nat chain=dstnat dst-address=Y.Y.Y.Y dst-port=22 protocol=tcp to-addresses=Z.Z.Z.Z to-ports=22

Так работает?

Не понял. А зачем маркировать соединение? Чем такой вариант лучше «классического»?

Чем такой вариант лучше «классического»?

если совпадают порты, то в правилах nat протокол и to-ports опускаются, в таком случае, в mangle содержится информация о различных портах, протоколах и эти правила могут создаватся в большом количестве.
в правиле, отвечающем за nat, содержится ip адрес, и оно одно. при смене адреса, изменения нужно сделать только в одном правиле. при отключении — тоже, т.к. маркированные соединения никак не влияют на файрволл из за того, что в прероутинге.

а под классическим подходом, я так понимаю, как раз принято считать подход школьников, которые херачат чё попало и как попало не приходя в сознание.

Новая вводная. Попробовал подключиться по x2go изнутри той сети, где сервер должен стоять и ошибка так же самая. Внутри другой сети подключается нормально. что-то блокирует даже внутри сети

Проблема решилась добавлением правила

 add action=accept chain=input comment="defconf: accept established,related" connection-state=\established,related dst-port=9986 protocol=tcp 

однако по прежнему не понятно, почему ssh работает без этого правила, а x2go - нет.

established и related должны быть fasttrack, толку их фильтровать нет.
ещё раз предлагаю — настрой роутер нормально. не хер пойми какие правила, вдруг что-то сработает, а нормально. и обновив прошивку, т.к. нет смысла сегодня делать правила на интерфейсы, если всё равно должны быть бриджи и от них не уйти.