Ragnar Black

1 условие: firewall не блокирует forward трафик
2 условие: данный микрот является шлюзом по умолчанию для обоих сетей
ничего дополнительно настраивать не надо

Если у вас железка на ARM обновитесь до ROS 7 и поставьте пакет ZeroTier. ZeroTier, говоря простым языком, l2 через интернет, не l3 как привыкли, используя vpn.

CRS125 - cloud router switch - ключевое слово switch.
под такое количество точек вам бы взять rb4011, rb5009, или что-нибудь на TILE (CCR). Ещё как вариант трафик пустить через CHR на одном из компов с двумя сетевыми портами, если не желаете разоряться на новую железку.

Цитата с официальной wiki:

As of the release of RouterOS 7.1, this means it is compatible with 4 devices:

hAP ac³ (non-LTE)*
Audience*
Audience LTE6 kit*
RB4011iGS+5HacQ2HnD**

Оригинал

Бесшовного роуминга не существует! ДА, совсем!

Есть не успокаиваетесь, то скажу, что есть протоколы, которые помогают устройствам, поддерживающим эти протоколы переключаться от точки к точке с минимальными задержками.
CAPsMAN помогает настраивать wifi-сеть централизовано. На CAPsMAN контроллере в datapath НЕ_включаете local forwarding, так трафик с точек будет уходить на контроллер и там разворачиваться и уходить дальше. При таком конфиге потери будут минимальными и незначительными. Также ваши точки не должны вещать на полную мощность, лучше уменьшить их уровень сигнала, так клиентам будет легче принять решение о переключении.

Если всё ещё желаете типа бесшовность, а точек 2-3, изучите Mesh и реализуйте сеть на этой технологии.

После того как вы установили CHR на сервер, перезапустили машину, вам необходимо подключиться к интерфейсу машины через хостера, указать ip, dns, default gateway, нового пользователя и отключить админа. После этих манипуляций ваш CHR станет доступен по SSH.
Я бы рекомендовал в IP -> SSH активировать параметр Strong Crypto, увеличить длину ключа до 4096 и сгенерировать ключи снова.

Если вы желаете замаскировать трафик идущий от вашего клиента миркотик до сервера, вам в любом случае понадобится свой собственный сервер, хоть на linux, хоть на CHR - что вам удобнее будет админить.

Для того, чтобы замаскировать трафик от провайдера подойдут два типа протоколов: OpenVPN и SSTP. Оба протокола могут использовать протоколы SSL/TLS (SSTP работает так по умолчанию). Вам всего лишь надо на сервере указать порт 443, транспорт TCP, после данных манипуляций ваш трафик при sniff'е будет походить на HTTPS.

Тема животрепещущая и в микротик настройка вланов это несколько способов, но я в общих чертах расскажу как это сделать без страницы switch.

Для начала вам надо создать бридж и поместить в него все порты.
На странице бридж, во вкладке VLANs добавляете id vlan'ов и порты, указывая untegged access порты, а в tagged транки. Если вам нужно, чтобы само устройство принимало участие в сетевом взаимодействии, то во вланы надо сам bridge как tagged, во все вланы с которых устройство должно отвечать по ip.
возвращаетесь на вкладку портс (в которой добавляли порты в бридж) и каждому порту на его вкладке vlan указываете ID влана на котором должно работать устройство. Повторить действие на всех портах, которые будут access.
Замыкая настройку бриджа возвращаетесь на самую первую вкладку Bridge, заходите в свойство бриджа и на вкладке ставите галку VLAN Filtering. после всех совершенных манипуляций у вас начинают работать vlan'ы.

Если вы добавили во вкладке VLANs страницы Bridge во вланы сам бридж, тогда не забудьте создать виртуальный интерфейс VLAN с id, указав в качестве мастера сам bridge, а затем какобвчному интерфейсу присваивайте интерфейсу vlan IP или подключайте dhcp client.

В вашей ситуации порты устройств, которые должны использовать провайдерскую сеть напрямую должны уметь во vlanы. То есть их порты на коммутаторе отправляете в состояние tagged, а на устройствах сетевым картам прописываете работать с таким-то ID.

Писал данный ответ с первого дубля
На этом пожалуй всё.
Если есть вопросы и пожелания, welcome в комментарии.

Успехов!

Весь трафик уходит через туннель очень простым способом: статический роут до openvpn сервера, дефолт маршрут через интерфейс ovpn

Обновляйте вашу микротик-железку до RouterOS v7 и используйте UDP в openvpn или сразу wireguard.

Как разделить адресное пространство с l3-коммутаторами? Также как в привычной схеме с маршрутизаторами.
L3-коммутаторы применяются, чтобы разгрузить и без того загруженные процессоры маршрутизаторов, выполняющих функции файерволинга, натирования, какого-нибудь контроллера, конечно маршрутизатора и много чего ещё. И что делать, если 16-ядерного маршрутизатора не хватает? Купить ещё дороже с ещё бОльшим количеством ядер. Но как известно деньги не берутся из воздуха, а покупать новую железку, когда лежит ещё свежая, но "менее производительная" нерационально.
Именно поэтому есть l3 коммутаторы которые снимают с маршрутизатора нагрузку в межвлановой маршрутизации.
На коммутаторах фирмы MikroTík с версии RouterOS 7 на некоторых коммутаторах появилась аппаратная маршрутизация, т.е. на свитч-чипе.

Подытог.
Планируйте свою сеть также как и с маршрутизатором, но на коммутаторах.
Возможно придётся применять динамическую маршрутизацию, так как схема стала чуть сложнее.

Успехов.

никаких hap ac^2 не хватит. Ставите везде где необходима сеть cAP AC, заводите их на CAPsMAN, с него рулите трафиком и всеми настройками. ядром рекомендую взять TILE устройство (CCR), за ним коммутатор с PoE к которому подключаются все Access Points (сэкономите на розетках, но и всегда будете иметь управление питанием централизовано, т.е. сможете перезагрузить какую надо точку ).
Так как вы делаете для компании и вам это всё потом обслуживать, как я предполагаю, то не экономьте на железе. сэкономленная копейка обернётся вам в сто крат большей головной болью.

Повесить vlan интерфейсы на бридж. условно интерфейсы vlan10 vlan-id=10 и vlan20 vlan-id=20, накинуть на них адреса
То, что вы хотите называется InterVLAN routing. Он реализуется как я описал выше.
далее в качестве шлюза указывать ip этих интерфейсов для своей сети соответственно

Конечно способ есть.

Опишу основные шаги:
шаг 1. составить address list с ip адресами всех сайтов, доступ к которым желаете перекрыть. Address list на современных ROS умеет в резолв доменных имён.
шаг 2. Промаркировать соединения по этим ip адресам.
шаг 3. промаркировать маршруты на основе предыдущего шага.
шаг 4. заворачивать весь трафик в blackhole маршрут, либо куда хотите, всё на ваше усмотрение
шаг 5. (опционально) На основе шага 3 с помощью L7 фильтра определять dns запросы в заголовках пакетов и блокировать их

Как-то так. ;)

Разницы в установке между SSD подключенным по SATA и подключенным по USB принципиально нет если внешний диск определяется в BIOS как USB-HDD, за исключением скорости передачи разумеется.
Ос на Linux имеет множество различных драйверов уже встроенных в ядро, однако не смотря на этот факт могут возникнуть проблемы на разных конфигурациях железа. Однако выход есть.
Рекомендую устанавливать на внешний SSD в качестве ОС Manjaro Linux, тк в manjaro присутствует утилита hardware detected, с ней шанс получить работающую систему на другом "железе" повышается.
Проводить установку системы на внешний диск рекомендую с USB flash и отключённом внутренним диском с Windows. Таким образом минимизируете риски стереть не тот раздел и удалить все ваши данные

нужно указывать путь до .deb файл.
если он лежит у вас в текущей директории, то команда будет выглядеть так:
apt install ./<package_name>.deb

Ответ будет чуть больше, чем просто набор двух команд:
* разрешить все установленные (established) и связанные (related) соединения
* разрешить подключение по ssh (вы же не хотите потерять связь с сервером)
* разрешить подключение с адреса источника который вам нужен
* установить политику по умолчания DROP

теперь в виде команд:

iptables --append INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT
iptables --append INPUT --protocol tcp --dport 22 --jump ACCEPT
iptables --append INPUT --source WWW.ZZZ.YYY.XXX --jump ACCEPT 
iptables --policy INPUT DROP

(заменить WWW.ZZZ.YYY.XXX на адрес, с которого нужно разрешить подключения)

Отлично, раз у вас beta 7.1, то этот момент сразу пропускаем.

И так.
На сервере вы настраиваете всё точно также как и обычно - добавляете нового peer в файл настроек wireguard.
На микротик настраиваете подключение согласно одной из множества инструкций по настройке WG на MikroTik

Как только коннект установлен и линки подняты начинается интересное.
На vps уже должны быть разрешены форфардинг пакетов с и на интернфейс wireguard (обычно это wg0) и включен форвардинг пакетов на уровне ядра (соответствующая настройка в файл sysctl.conf)

Теперь настройки микротик:
настроить новый NAT на интерфейс wireguard
в настройках firewall в address list добавить адрес вашей локальной сети (например имя LAN, адрес 192.168.88.0/24)
Там же в firewall в mangle настраиваете маркировку соединений: prerouting - src. address list "LAN" - action "Mark Connetion" - New connection mark "bh-conn"
рядом же маркируете маршруты по этому соединению: prerouting - connection mark "bh-conn" - src. address list "LAN" - action "mark routing" new routing mark "bh-rt"
После заходите в ip - route, добавляете новый статический маршрут с большой "ценой", пусть будет 100, gateway выбираете интерфейс wireguard, route mark выбираете bh-rt
после всех этих манипуляций весь трафик из вашей локальной сети должен пойти в тоннель на vps

всё делается достаточно просто.
Выписываете mac-адрес устройства, которое провайдер разрешает подключать к его сети,
подключаете роутер к провайдеру и меняете mac внешнего интерфейса роутера, на mac из первого пункта
далее идёт стандартная настройка роутера.

Эх, скольким знакомым пришлось помогать в своё время с такими провайдерами..

Чтобы разобраться с symbolic link нужно разобраться с типами путей, а именно знать, что есть абсолютный путь - путь, перечисляющий маршрут до папки/файла назначения от корня файловой системы, например ls /usr/bin - просмотр содержимого папки bin с помощью абсолютного пути; и знать, что есть относительный путь - путь, относительный текущей рабочей директории. например, чтобы попасть в /usr/bin из домашней папки пользователя, используя относительный путь, понадобится указать следующий маршрут: cd ../../usr/bin

Теперь о самих софт-линках. Софт-линк - это, если вкратце, файл, который содержит в себе путь до файла на который он указывает.

Теперь зная о путях и как работает symbolic link вы больше не будете путаться в этой теме! ;)