Der0nded, микротики из вашего варианта вролне вывезут и по трафику и по туннелированию. На центральном микроте поднимаете openvpn server, т.к. он на белом ip, остальные к нему цепляете и маршрутизацию.
0.0.0.0. ни на что менять не надо, это маршрут по умолчанию для сетевого трафика, vpn-ip - адрес vpn-сервера.
Вы когда подключаетесь к впн, у вас появляется впн-интерфейс с адресом и маской, такой же адрес есть у впн-сервера - его надо использовать вместо vpn-ip.
Muz0n, домашняя машина у вас Windows? Тогда запустите от имени администратора командную строку и в ней напишите route -p add 0.0.0.0 mask 0.0.0.0 vpn_ip
vpn_ip - должен быть внутренний адрес vpn-сервера, в том же диапазоне к которому относится получаемый адрес на локальном vpn-интерфейсе.
Ключ "-p" нужен чтобы маршрут не сбрасывался при перезапуске домашней системы.
Такое ощущение, что петля образуется и первый микрот кладет интерфейс, где ее видит. Какой тип wifi-подключения на втором микротике? Я правильно понимаю, что первый микротик раздает вайфай, второй принимает? У вайфаев есть несколько типов - надо выбирать правильные - у первого ap bridge, у второго station
А логи что-то показывают? В том у другом микротике. Все еще непонятно, что происходит для клиента - есть ли пинги до микротиков, доступ по вебке/винбоксу. Если приложите конфиги микротиков - будет проще понять что не так.
Роман, кстати, ещё один способ решить вашу задачу - расширить маску сети с 24 на 23. Всё юзеры будут в одной сети, лишней нагрузки на роутер не будет. Затраты - смена маски на шлюзе и свитчах (всего что на статике, без dhcp) коррекция диапазона dhcp.
Роман, теоретически, можно указать для обоих вланов адреса свитча как гейтвей и у него самого проставить в статических маршрутах 0.0.0.0/0 через 192.168.1.1. Может быть заработает, я так никогда не делал.
Если вдруг у шлюза есть 10Г-порт - можно не париться и спокойно отдать со свитча один кабель - нашему офису на 250 человек этого за глаза хватает. С локалкой, интернетами и прочей фигней. На крайний случай можно сделать link-aggregation на шлюзе и жить на 2Гбит/с.
По скринам не видно, можно ли переназначить порт с wan на lan, но наверное можно. Если удастся перекинуть его в lan-бридж - можно будет пользоваться.
Пробросы портов делать только на первом роутере, где полноценный wan. Второй роутер сейчас работает как управляемый коммутатор с вайфаем.
В любом случае, данных мало - как запускаете, где находится after-dev-build относительно места запуска?
Кстати, если лог ошибки скопирован дословно, там странная пунктуация - 'after-dev-build'' - одна кавычка и потом две
Так как разная среда передачи (провод и вайфай) трафик должен перейти из одной в другую, а это делает в вашем случае именно роутер. Если коммутатора после роутера нет, то на бридже будут ловиться пакеты.
Хоть какой-нибудь адрес отображается в вебке роутера на WAN- порту? Может "особо одарённый" сосед у себя перепутал WAN и LAN и вещает свой DHCP- диапазон?
В логах циски что-то появляется при подключении второго провайдера? Может срабатывает BPDU-GUARD и блокирует порт из-за несовпадения тегов вланов, даже несмотря на аксесс-порт