Хотеть интернет и не хотеть ДНС это как ловить рыбу и не хотеть насаживать червя на крючок. ДНС преобразует понятные вам буквы в понятные компьютеру цифры. Никакой гугл/яндекс и т.д не откроется без днс
Можно на стороне wireguard- сервера сделать src-nat, чтобы все адреса источников запросов подменялись туннельным адресом. На клиенте сделать дефолт гейт его собственный.
Вы предполагаете что DHCP сервер должен сам себе адрес выдать? Такого не бывает. Ну и непонятно, сидит ли сервер дхцп в той же сети, которую раздаёт? Адреса в этой сети я в конфигах не вижу
На основном роутере надо указать маршрут до сети 192.168.88.0/24 через внешний адрес Микротика. На микроте в файрволе должно быть правило разрешающее forward соединения с Wan -порта без NAT
На L3 спокойно поднимаются 2 влана - для офисной сети и для наблюдения. Между ними - файрвол, для распределения доступов. Неуправляемые коммутаторы спокойно поживут в отдельной сети. L3 вполне сможет сам держать ДХЦП для двух сетей
Нумерация нужна только человеку, чтобы не запутаться во всем многообразии вланов. Естественно привязываешься к октету, чтобы не забыть. Лишь бы не пересекались номера в разных сегментах
Если 192.168.13.76 работает как шлюз для сети 10.222.231.0 - достаточно будет маршрута на нем до 192,168,0,0/24 через 192.168.13.1 и на том конце маршрут обратно - до 10.222.231.0/24 через туннель
Чтобы перехватить unicast, взломщику необходимо иметь доступ к устройству, через которое пройдёт пакет. С вайфаем это гораздо проще, т.к. эфир общий и сообщения "слышны" всём окружающим.
Теоретически, второй впн может делать все что нужно, если ему никто не мешает. Если на вашем микротике настроен файрвол с запретами ходить из второго впн в локалку - надо будет править его. Надо бы посмотреть конфиг - Файрвол, Маршруты, Маркировку.