короче позже

ну если у тебя так настроено уже, то в ip/route/rules нужно добавлять каждый маршрут впновский туда

если ты хочешь по образу забороны чтобы через впн шел только заблокированный в украине трафик на ресурсы, то

src: гостевая есть
dst: адрес_вк_1
routing mark: тот же что на третьем провайдере (в обычном роуте 0.0.0.0/0)
action: lookup

/ip firewall mangle

add action=mark-connection chain=input in-interface=(интерфейс входа 3го провайдера) new-connection-mark=INPUT-3ISP

add action=mark-routing chain=output connection-mark=INPUT-3ISP new-routing-mark=(тот же что на третьем провайдере (в обычном роуте 0.0.0.0/0) passthrough=no

но так плохо, потоу что в роуты придется сразу много правил таких пушить

в терминал если вставлять те что через ентер то они как мультилайн будут идти

лампочки и релешки все сейчас по вайфаю подключены?

проще все с нуля переделать с dst-nat

Да.

40-50 устройств и вайфай роутеру нормально? что это за роутер такой

Xiaomi 3g :)

ну тогда этот роутер можно оставить как есть, перевести его только в режим точки доступа(отключается нат и дхцп)

или если все завязано под конкретные айпишки, которые им выданы, то оставить

и просто выше него подключить микротик любой

Я правильно понял, что через микротик клиенты двух подсетей будут видеть друг друга?

да, если на тех роутерах, за которыми другая сеть, микротик будет стоять как шлюз

порты придется пробрасывать еще, уу

так что лучше заново адреса переназначить

типа IoT девайсы в 10.0.5.0/24 сети

остальная беспроводная фигня типа телефона и телика 10.0.4.0/24

а проводные клиенты по 10.0.1.0/24

чтобы потом сразу правила по подсетке применять