Алексей

С тем, что место на диске закончилось. Неужели не хватило сил перевести "No space left on device"?

Я бы в первую очередь, до VLANов, по возможности, разнес кассы и видеонаблюдение на разные физические сети (свичи), чтобы они объединялись только аплинками уже на микротике. Т.к. это критичные к реалтайму системы и чем проще организованы тем гораздо лучше. ну либо в отдельные access vlanы на одном свиче.
Потом бы уже смотрел где в комповских сетях лаги

1) Чем быстрее разобьете на VLAN, тем будет проще.
2) Сразу сделайте dhcp-snooping, чтобы избавиться от левых ip-адресов, левых DHCP-серверов и прочих проблем с левой адресацией.
3) блокируйте multicast или хотя-бы его ограничте.
4) установите нормальный DCHP-сервер
5) Используйте arpwatch, arpalert или arpon для анализа подмен ip-адресов
6) радикально - настройте авторизацию по 802.1x

Обычно для такого требуется прописывать два правила (по крайней мере, при настройках, сгенерированных через Quick Set). Одно вы сделали (собственно проброс порта в IP -> Firewall -> NAT). Второе правило нужно прописать в IP -> Firewall -> Filter, в цепочке forward, оно должно разрешать трафик с внешнего интерфейса до внутреннего ip-адреса сервера по нужному порту, и стоять выше, чем созданное по умолчанию правило, запрещающее трафик с внешнего интерфейса на внутренние интрерфейсы или ip-адреса.

затык в следующем, я не особо пока врубаюсь с этими бриджами,

Бридж это что-то вроде свитча.
Все что вы объединили в бридж получается подключено к одному свитчу.

Чтобы у вас WiFi клиенты ходили в вашу локалку, нужно WiFI интерфейс закинуть в бридж.
Тогда клиенты WiFI будут получать адреса из той же подсети. И никакого роутинга.

Если вы намеренно изолировали WiFI сеть - не включили в бридж, выделили другое адресное пространство, то тогда они в разных сетях, и нужно прописывать маршруты между сетями.

Так как у вас уже установлен Thunderbird, то реализуйте необходимые действия его же силами:

Настройки (Меню Thunderbird) -> Инструменты -> Фильтры сообщений

Важное условие в сортировке писем между разными ящиками - это работа Thunderbird с ящиками по протоколу IMAP или IMAPS.
Делаете такое количество правил, которое вам нужно и нет привязки к какому-то почтовому сервису типа яндекса, мейл.ру, ukr.net или свой почтовый сервер.
На скриншоте, пример одного правила:


P.S. Единственный минус данной реализации - это постоянно запущенный Thunderbird для обработки/копирования/перемещения корреспонденции по ящикам или папкам. Если компьютер никогда не выключается и Thunderbird всегда включён, то вопросов с сортировкой писем не будет.

Сначала определиться с бюджетом, временем и что у вас есть, прикинуть возможные риски.
Я бы начал с того, что поднял hyper-v (как я понял лицензия у вас есть), одна лицензия это хост + 2 виртуалки, сделал бы план бэкапов и восстоновлений. Поднял бы active directory, посоздовал бы учётки и ввел бы это всю хрень в домен. Из трат - ваше время, время специалистов, пока вы им настраиваете учётки из AD. Если это возможно операционки ставьте новые. Под серверную крайне желательно выделить отдельное помещение с 1-2 кондиционерами и хотя бы ибп, не говорю уже про резервную линию питания.
С сетью очевидно прямых трат больше. Надо прикинуть возможно ли поставить всё в одну коммутационную стойку, или надо несколько стоек по предприятию. Считаем траты на кабель, коммутациюнные шкафы, сколько метров до самых удаленных точек, разетки, маркировка, кабель-каналы и прочий строительный храм + время простоя во время ременота + пространство (КРАЙНЕ ЖЕЛАТЕЛЬНО ЗАКРЫТОЕ, та же серверная) в котором всё это будет находиться. Обсудить с начальством целесообразно ли покупать управляемые свитчи (с тем же storm control и прочими протоколами), либо конторка без проблем денек подождёт, пока вы будете носится как угарелый искать какой такой нехороший сотрудник решил подключить неподключенный кабель в разетку и куда именно, денек до этого выясняя, что это всё-таки именно broadcast storm. Схему рисовать обязательно. Всё должно быть понятно и подписано. В качестве шлюза микротик более, чем норм. И РАЗУМЕЕТСЯ вы на каждую комнату закладываете больше разеток, чем там находится пользователей процентов на 20-80 в зависимости от ситуации.
В описанном не вижу необходимости нарезать vlan'ы и как-то сегментировать сеть, но возможно вы что-то не договариваете, либо я недооцениваю. Разве, видеокамеры в отдельную подсеть и отдельный vlan (хотя и второе не обязательно в зависимости от схемы подключения).
Для принтетов можно подумать принт-сервер. Для удаленки pptp сервер на микротике.

Если вы хотите там как-то резать доступ по отделам, делать несколько ad, сегментировать сеть и т.д. это уже другой вопрос.

Это я так, сходу прикинул. Вообще всё зависит от финансирования.

Прежде чем читать мануал нужно понять что вы хотите балансировать.
Балансировать трафик можно основываясь тремя способами или их сочетаниями:
1. балансировать трафик пропорционально . Например 1:1 или 3:2 (количество соединений на первый WAN и на второй соответственно)
Предупреждаю: многие сервисы в интернете не любят (вплоть до бана) запросы от разных адресов от клиента в одном сеансе. Особенно банки.
Если имеются dst-nat, то придётся вычурно метить трафик, чтобы не путать вход-выход.
2. балансировать опираясь на информацию от источника (клиента). Например разделив адресное пространство клиентской сеть пополам или вручную по спискам или динамически, анализируя те или иные параметры запросов и т.д.
Если клиенты сидят за прокси это будет сделать довольно сложно.
3. балансировать опираясь на цель запросов, т.е. делить интернет. Тут вообще целина не паханная возможностей. Кстати это основной способ обхода блокировок РКН, поскольку напоминаю, что соединение VPN - тоже считается внешним интерфейсом.

После можете гуглить реализацию.

не надо никуда ничего добавлять. всё дело в том, что у длинка после конфигурации эту самую конфигурацию надо еще и сохранить.


и после этого настройки не будут слетать после ребута.

в цисках после конфигурации забываете сделать тоже самое:
do wr

Важно выяснить: DHCP есть? если есть, то на роутере или на сервере? DNS локальный есть? если есть, то на роутере или на сервере? среди свитчей есть управляемые (гуглить характеристики по модели свитча)?
Про остальное уже хорошо ответили, повторять нет смысла.

Котнтроллер домена должен связаться с вводимой машиной сам для ввода в домен. А у вас он в облаке обратной маршрутизации нет(есть связь с обаком, но нет связи облака с машиной). Используйте VPN и натройте связь как положенно а не через ж.

Берите какой-нибудь Микрот тысяч за 20-30, шикарно зайдёт.