Дмитрий

В чем смысл транка между микротиком и циской? Если циска будет дхцп-сервером, не обязательно отдавать эти сети на микрот, можно сделать циску шлюзом внутренеих сетей и дать ей гейтом адрес микрота для выхода в интернеты. Внутренний трафик на микроте не будет виден, т.к. все широковещательные пакеты не выйдут из-за циски.

Проверьте настройки электропитания - система может отключать USB устройства для экономии энергии

Попробуйте запустить командную строку от имени администратора и в ней запустить команду

Раз все зависит от одного компа, в чем его уникальность? Может он включён а одну розетку с трансивером или на него ссылаются конфиги других пк?

Вы сами стреляете себе в ногу и удивляетесь, почему больно. Ваш днс сервер кроме ваших локальных имен ничего не знает, т.к. к внешним днс не имеет доступа. Дайте ему шлюз и днс и можете средствами брандмауэра разрешить ему только 53 порт udp наружу

Скорее всего это вам подойдёт

Объединяете все порты микротика в один бридж, включаете на нем Vlan filtering, создаете вланы поверх бриджа, применяете на порты - пример можно посмотреть тут

У вас, как минимум. не маскируется обратный трафик от vm3 через vm2

Как ведет себя trace при этом?
Попробуйте также указать маршрут не через интерфейс wg а через IP явно

Хотеть интернет и не хотеть ДНС это как ловить рыбу и не хотеть насаживать червя на крючок. ДНС преобразует понятные вам буквы в понятные компьютеру цифры. Никакой гугл/яндекс и т.д не откроется без днс

Можно на стороне wireguard- сервера сделать src-nat, чтобы все адреса источников запросов подменялись туннельным адресом. На клиенте сделать дефолт гейт его собственный.

Вы предполагаете что DHCP сервер должен сам себе адрес выдать? Такого не бывает. Ну и непонятно, сидит ли сервер дхцп в той же сети, которую раздаёт? Адреса в этой сети я в конфигах не вижу

Это не ошибка, а предупреждение. На форуме openvpn советуют это сообщение просто игнорировать

На основном роутере надо указать маршрут до сети 192.168.88.0/24 через внешний адрес Микротика. На микроте в файрволе должно быть правило разрешающее forward соединения с Wan -порта без NAT

На L3 спокойно поднимаются 2 влана - для офисной сети и для наблюдения. Между ними - файрвол, для распределения доступов. Неуправляемые коммутаторы спокойно поживут в отдельной сети. L3 вполне сможет сам держать ДХЦП для двух сетей

Можно попробовать сделать маппинг сетей типа такого https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/...