не доступен wan2 извне

прошу сильно не пинать, но что-то никак не могу заставить работать 2 интерфейса, на доступ из внешней сети (нужен доступ по rdp)
есть 2 wan с белыми IP, pppoe-out1 и ether2(ipoe - но в dhcp получает локальные адреса).

сделал простенькую маркировку соединений и маршрута, добавил правила в роуты, но вот ни в какую блин

Спойлер: mangle

> ip fi ma pr
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=mark-connection new-connection-mark=wan1-in passthrough=no
in-interface=pppoe-out1 log=no log-prefix=""

1 chain=input action=mark-connection new-connection-mark=wan2-in passthrough=no
in-interface=ether2 log=no log-prefix=""

2 chain=output action=mark-routing new-routing-mark=wan1 passthrough=no
connection-mark=wan1-in log=no log-prefix=""

3 chain=output action=mark-routing new-routing-mark=wan2 passthrough=no
connection-mark=wan2-in log=no log-prefix=""

Спойлер: dhcp-client

Flags: X - disabled, I - invalid, D - dynamic
0 interface=ether2 add-default-route=yes default-route-distance=2 use-peer-dns=no
use-peer-ntp=no dhcp-options=hostname,clientid,clientid_duid status=bound
address=10.140.252.37/24 gateway=10.140.252.1 dhcp-server=10.10.1.241 primary-dns=10.10.
secondary-dns=10.10.1.10 expires-after=17m38s

Спойлер: route

0 A S dst-address=0.0.0.0/0 gateway=pppoe-out1 gateway-status=pppoe-out1 reachable
check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=wan1

1 A S dst-address=0.0.0.0/0 gateway=10.140.252.1
gateway-status=10.140.252.1 reachable via ether2 check-gateway=ping
distance=1 scope=30 target-scope=10 routing-mark=wan2

2 ADS dst-address=0.0.0.0/0 gateway=pppoe-out1 gateway-status=pppoe-out1 reachable
distance=1 scope=30 target-scope=10

3 DS dst-address=0.0.0.0/0 gateway=10.140.252.1
gateway-status=10.140.252.1 reachable via ether2 distance=2 scope=30
target-scope=10 vrf-interface=ether2

4 ADC dst-address=10.10.10.10/32 pref-src=IP_ppppoe-out1 gateway=pppoe-out1
gateway-status=pppoe-out1 reachable distance=0 scope=10

5 ADC dst-address=10.140.252.0/24 pref-src=10.140.252.37 gateway=ether2
gateway-status=ether2 reachable distance=0 scope=10

при попытке пинговать ether2 из внешнего мира, в конекшн-трекере почемуто в dst-address отображается локальный dhcp адрес (10.140.25.37)