Ragnar Black

Обновляйте вашу микротик-железку до RouterOS v7 и используйте UDP в openvpn или сразу wireguard.

никаких hap ac^2 не хватит. Ставите везде где необходима сеть cAP AC, заводите их на CAPsMAN, с него рулите трафиком и всеми настройками. ядром рекомендую взять TILE устройство (CCR), за ним коммутатор с PoE к которому подключаются все Access Points (сэкономите на розетках, но и всегда будете иметь управление питанием централизовано, т.е. сможете перезагрузить какую надо точку ).
Так как вы делаете для компании и вам это всё потом обслуживать, как я предполагаю, то не экономьте на железе. сэкономленная копейка обернётся вам в сто крат большей головной болью.

Повесить vlan интерфейсы на бридж. условно интерфейсы vlan10 vlan-id=10 и vlan20 vlan-id=20, накинуть на них адреса
То, что вы хотите называется InterVLAN routing. Он реализуется как я описал выше.
далее в качестве шлюза указывать ip этих интерфейсов для своей сети соответственно

Конечно способ есть.

Опишу основные шаги:
шаг 1. составить address list с ip адресами всех сайтов, доступ к которым желаете перекрыть. Address list на современных ROS умеет в резолв доменных имён.
шаг 2. Промаркировать соединения по этим ip адресам.
шаг 3. промаркировать маршруты на основе предыдущего шага.
шаг 4. заворачивать весь трафик в blackhole маршрут, либо куда хотите, всё на ваше усмотрение
шаг 5. (опционально) На основе шага 3 с помощью L7 фильтра определять dns запросы в заголовках пакетов и блокировать их

Как-то так. ;)

Отлично, раз у вас beta 7.1, то этот момент сразу пропускаем.

И так.
На сервере вы настраиваете всё точно также как и обычно - добавляете нового peer в файл настроек wireguard.
На микротик настраиваете подключение согласно одной из множества инструкций по настройке WG на MikroTik

Как только коннект установлен и линки подняты начинается интересное.
На vps уже должны быть разрешены форфардинг пакетов с и на интернфейс wireguard (обычно это wg0) и включен форвардинг пакетов на уровне ядра (соответствующая настройка в файл sysctl.conf)

Теперь настройки микротик:
настроить новый NAT на интерфейс wireguard
в настройках firewall в address list добавить адрес вашей локальной сети (например имя LAN, адрес 192.168.88.0/24)
Там же в firewall в mangle настраиваете маркировку соединений: prerouting - src. address list "LAN" - action "Mark Connetion" - New connection mark "bh-conn"
рядом же маркируете маршруты по этому соединению: prerouting - connection mark "bh-conn" - src. address list "LAN" - action "mark routing" new routing mark "bh-rt"
После заходите в ip - route, добавляете новый статический маршрут с большой "ценой", пусть будет 100, gateway выбираете интерфейс wireguard, route mark выбираете bh-rt
после всех этих манипуляций весь трафик из вашей локальной сети должен пойти в тоннель на vps

Здравствуйте!

Однозначно рекомендую переходить на точки от MikroTik.
Сам работал с такой [MikroTik + Unifi] связкой в одной организации. Из-за разницы в производителях и некоторых технологиях такое соседство доставляло дискомфорт.

Почему точки доступа MikroTik? CAPsMAN!
Централизованное управление, унифицированные настройки, конфигурирование исключительно с контроллера (за исключением подготовительного этапа).
Именно по этим же причинам и сам сделал выбор в пользу продукции данной компании: справляются с высокими нагрузками,, множество различных настроек, роуминг, централизованное управление.

Комплект из hEX PoE и cAP AC отлично показывает себя на одном из объектов.

Рекомендую!