Доброе время суток всем!

Дома стоит у меня микрот, фаервол настраивал давно. Всё работало. Wifi в бридже вместе с внутренними езернетами.
Недавно, наслушавшись историй о прелестях (в частности - openvpn via udp), обновил routeros до текущей 7.5. Начал подтормаживать немного тырнет. Некритично, но я заметил. Полез смотреть - клиентам отдаётся по dhcp сервера DNS микрот (192.168.45.1) и 8.8.8.8. В фаерволе для ДНС прописаны правила:

[MikroTik] > /ip firewall filter print 
Flags: X - disabled, I - invalid; D - dynamic 
 0    ;;; jump to kid-control rules
      chain=forward action=jump jump-target=kid-control 
 1 X  chain=forward action=accept src-address=192.168.45.25
 2    chain=forward action=accept src-address=192.168.45.10
 3    chain=forward action=accept protocol=gre src-address=192.168.45.10
 4    chain=input action=add-src-to-address-list connection-state=new 
      protocol=tcp src-address-list=!managers address-list=CRACKERS 
      address-list-timeout=none-static in-interface=WAN dst-port=21,22,23,8291
 5    chain=input action=reject reject-with=icmp-host-unreachable 
      src-address-list=CRACKERS
 6    ;;; established&related
      chain=input action=accept connection-state=established,related
 8    ;;; invalid connections
      chain=input action=drop connection-state=invalid
 9    chain=forward action=drop connection-state=invalid
10    ;;; For local configuration in accidents
      chain=input action=accept in-interface=ether2
11    ;;; pings
      chain=input action=accept protocol=icmp in-interface=!WAN
12    ;;; DNS requests from LAN to me
      chain=input action=accept connection-state=new protocol=udp 
      in-interface=br0 dst-port=53
13    chain=input action=accept connection-state=new protocol=tcp 
      in-interface=br0 dst-port=53
14    ;;; DNS requests from LAN to WAN
      chain=forward action=accept connection-state=new protocol=udp 
      in-interface=br0 out-interface=WAN dst-port=53
15    chain=forward action=accept connection-state=new protocol=tcp 
      in-interface=br0 out-interface=WAN dst-port=53
[skip...]

Но при попытке обрашения к DNS микрота из локалки, получаем отлуп

0:23:31.432579 IP 192.168.45.5.45515 > 192.168.45.1.53: 11274+ A? play.google.com. (33)
00:23:31.433671 IP 192.168.45.1 > 192.168.45.5: ICMP 192.168.45.1 udp port 53 unreachable, length 69

Следующий пакет летит уже на 8.8.8.8 и, в конце концов, тырнет работает.

снифер пакетов на микроте показал, что пакет DNS-запроса от клиента считается входящим через wifi, а не через br0. При попытке изменить 12 правило на "in-interface=wifi", получаем логичную ошибку, что на slave-интерфейсе это действие не допустимо - используйте родительский br0. Wiki от микротика и гугл пока ясности не дали (может, неправильно формулировал?). :(

Если кто натыкался на эти грабли, ткните в правильную ссылку, плз, или объясните как выйти из ситуации? br0 разбирать не хотелось бы.

Спасибо!