Виктор Бельский

Используйте IPsec policy matcher, на вкладке Advanced->IPsec policy, чтобы указать, что трафик проехал через туннель и попал под одну из политик шифрования

1. Настройте vrrp на lan интерфейсах роутеров
2. Повесте на vrrp интерфейс нужные ip адреса (на мастере и на бекапе)
3. Настройте netwatch на что-то очень доступное в Интернете (гугл, яндекс DNS)
4. При сработке netwatch, в секции down, тушите vrrp интерфейс, а при UP поднимайте его

1. Создать виртуальные интерфейсы wifi для двух локальных сетей и два для гостевых.
2. Объединить в бридж нужные lan и wifi интерфейсы
3. Присвоить каждому бриджу к которому подключены "хабы" ip адрес из сети 1 и 2 соответственно (адресация разумеется не должна пересекаться), настроить для этих интерфейсов dhcp сервера.
4. Настроить отдельный dhcp для гостевых wifi (опять же, сети должны отличаться)
5. Настроить nat и правила фаерволла запрещающие хождение пакетов между сетями.
6. Настроить маркировку для пакетов из 2-ой гостевой сети и на основе этих меткок сделать отдельный default route где шлюзом будет vpn интерфейс, ну и nat для него нарисовать.

GRE over IPSec отлично справляется, overhead меньше чем у EoIP, хотя разница практически не заметна.

Задать второй ip адрес из сети 192.168.1.0/24 на LAN интерфейсе и указать его в качестве шлюза по умолчанию для этих двух компьютеров. Ну и правила firewall настроить для блокировки доступа в сеть 192.168.0.0/24 и для разрешения из сети 192.168.1.0/24 в Интернет.
Но просто вывести компьютеры в другую сеть это не выход, т. к. адреса можно и поменять. Для более надежного ограничения нужны либо vlan, либо отдельный свитч.

Ну провайдер для уменьшения нагрузки на свою мобильную сеть, ужимает изображения отдавая их клиенту. А при использовании ssl - трафик зашифрован и пров не знает что там, поэтому ужать ничего не может.

Если сети физически разделены и связаны только через микротик на разных интерфейсах, то используйте netmap в nat и придумайте фейковые сети для существующих. Например при обращении к адресу 192.168.102.5 с интерфейса ethet1, будет произведена трансляция в адрес 192.168.2.5 и пакет отправлен в ether2 и по аналогии при запросе к 192.168.202.5 с интерфейса ether2, произойдет трансляция в 192.168.2.5 на ethet1.

Подключите провод от первого роутера (который идет во второй) к себе в компьютер напрямую, назначьте выданный вам статический адрес и запустите wireshark, дальше изучайте пакеты. Возможно ваш второй роутер имеет адрес 172.23.238.1. А возможно первый роутер поднимает туннель, но одним словом - пров у вас кривоват.

К вашему правилу dst-nat добавьте еще:
chain=srcnat action=masquerade dst-address=172.20.10.5 out-interface=(интерфейс к которому подключен провод от второй сети)
Ну и проверьте чтобы firewall пропускал 80 порт

Тут есть проблема, если ноутбук свой, то что помешает сотруднику прописать статический ip себе на компьютере и продолжать пользоваться сетью? Мне что-то подсказывает, что на свичах у вас не настроены dhcp-snooping, option 82, arp и ip protect, а шлюз не сверяется с таблицей dhcp lease. Поэтому как выше сказали отключить порт

Хмм...раз вы собирались "колхозить" свитч, то предположу, что микротик и фря, находятся в одном бродкаст домене, т. е. они видят друг друга на L2? Если это так, то сделайте бридж м/у портом аплинка от провайдера и портом куда подключена фря.

1. Никогда не понимал людей раздающих интернет и осуществляющих маршрутизацию на Windows Server. Даже Kerio на винде вызывал жуткую изжогу.
2. В идеале, внутренняя сеть должна быть разделена на vlan, сервера должны жить отдельно, офисные компьютеры отдельно (иногда и офис разносится по отделам в разные подсети), wifi гости тоже отдельно и все это сдобрить хорошей порцией acl. А на серверах жесткое разделение и контроль доступа.

Вот легкая расшифровка того о чем вам указали выше =)
У вас филиал 10.10.5.0/24 явно не знает о существовании 192.168.100.0/24, нужно ему об этом рассказать. Либо прикидываться 192.168.5.0/24 при передаче из 192.168.100.0/24 в 10.10.5.0/24.

/ip firewall nat add action=dst-nat chain=dstnat dst-port=1080 in-interface=WAN protocol=tcp to-addresses=192.168.20.10 to-ports=1080
Дальше все зависит от того, нужно ли вашему серверу знать ip адреса с которых к нему подключаются или нет, если нет, то вам нужно сделать маскарадинг трафика который направляется на адрес 192.168.20.10 и порт 1080
/ip firewall nat add action=masquerade chain=srcnat dst-address=192.168.20.10 dst-port=1080 protocol=tcp src-address=!192.168.10.0/24
Тогда пакеты к веб серверу будут прилетать с адресом интерфейса R-01, который смотрит в сторону R-02.

Если же нужно сохранить адрес источника, то маскарадить трафик не нужно, а на R-02 нужно маркировать трафик пришедший с интерфейса смотрящего в vpn туннель, направляющейся на 192.168.20.10 и потом возвращать его не через шлюз по умолчанию, а в туннель.