Ziptar

Если клиенты подконтрольны - настраивать ipsec или pppoe/vpn. Оба варианта требуют настройки на клиентских машинах. Оба варианта прожорливы по ресурсам, громоздко, муторно. ipsec будет слегка аккуратнее.
Если клиенты неподконтрольны - только избавляться от неуправляемого свитча. Хотя этот вариант и в первом случае предпочтительнее.

Отдельная подсеть для виртуальной wlan, policy base routing по src-addr

auth-user-pass-verify auth.vbs via-file

Ну, Вы понимаете, что это только дополнительная аутентификация?

Какой роутер подойдет для этого?

Лучше всего - любой роутер с OpenWrt на борту, или возможностью на него перепрошиться. Даже если будут приключения - на OpenWrt их будет проще обойти, чем на родных прошивках различных брендов.
А что до проприетарных реализаций openvpn (как в ROS, например) - лучше не надо.

Как это правильно организовать

В простейшем случае таблицу маршрутизации для определённого трафика проще переназначить через мангл, имхо.

Впрочем, я не вполне понимаю что вы хотите сделать.

при этом весь трафик отправить в другой шлюз(провайдера)

Трафик чего?

Регулярка на L7 не умеет работать по схеме, всё кроме выражения.

- Помечаете через mangle соединения, соответствующие попыткам подключения этого компьютера к серверам windows update и нужному сайту на прероутинге либо на форварде, со снятой галкой passtrought
- В фаерволе на форварде разрешаете промаркированные таким образом соединения, и запрещаете все прочие для этого компьютера (не забыв разрешить dns и ntp, конечно)

1)собственно по какому пути идти?

В общем случае вариант 2, остальное может плавать в зависимости от назначения сайта и прочих деталей.

2)нужно-ли докручивать безопасность на IIS и что крутить?

А что на сайте то? Аутентификацию крутите, что б безопасно.
В целом можно выделять под сайт отдельный сервер, организовывать DMZ, но нужно ли оно в вашем случае?

3)имеет ли смысл добавлять еще один сетевой адаптер на IIS и с него пускать в мир?

Без DMZ - только если большая нагрузка.

Ну ежели речь про вин: диспетчер устройств -> контроллеры запоминающих устройств

Смотреть в сторону MSS и MTU у PPTP подключения и у L2TP подключения.

Postfix в качестве MTA, с привязкой SASL (я cyrus использую, dovecot слишком замороченный для таких целей) для отправки писем с того же самого gmail'a, но через postfix. Получение простым редиректом на ящик gmail. Хранение писем вам не нужно, бд вам не нужны.
В настройках домена базово вам нужно только прописать адрес почтовика в mx запись. Как настраивается SPF и DKIM легко гуглится - это самая простая часть.

Под винду не советую... слишком дорого выйдет в итоге - сопоставимо с использованием непосредственно GSuite.

Можно отлавливать скриптом поднятие l2tp подключения и прописывать статику в настройки днс. Но я не уверен, что статически прописанные серверы имеют для микротика приоритет над динамическими.
В таком случае можно скриптом отлавливать поднятие l2tp подключения и включать правило для ридиректа запросов на 53/UDP на 8.8.8.8 например.

:if ([:len [/ppp active find name="имя l2tp подключения"]] > 0) do={
/ip firewall nat enable [find comment~"Часть коммента правила с редиректом"]
} else {
/ip firewall nat disable [find comment~"Часть коммента правила с редиректом"]
}
Ну и само правило на редирект создать с соответсвующем комментом, а скрипт запускать каждые 10 сек., предположим.
Как-то так, но это не точно.

https://wiki.mikrotik.com/wiki/Manual:IP/Cloud

Или нет?

А почему нет, если распространяемый вами софт не является пиратским?

Я так понимаю, что все усложняется тем, что G Suite могут подключать как минимум ИП? Простые физ.лица нет? Благодарю.

Гуглу абсолютно пофигу, это я как физ. лицо и пользователь gsuite говорю. Единственное НО - если платить не через реселлера, то обязанность уплаты НДС в РФ возлагается на пользователя, а физлица в РФ сами НДС платить не могут. Так что лучше через реселлера, во избежание.

https://wiki.mikrotik.com/wiki/Manual:Scripting#Gl...

error :error Generate console error and stop executing the script

Если вы говорите о конфликте шлюзов, то...
Метрики маршрутов в автоматическом режиме назначаются по последнему установленному соединению; при этом обновление dhcp по таймеру считается заново установленным соединением, поэтому могут возникнуть эксцессы при определённых обстоятельствах. (актуально для win7, другие ОС могут себя иначе вести)
Вручную можно настроить в свойствах ipv4 конкретного подключения.

добавить маршрут на 192.168.1.0/24 через шлюз с адресом, который получает Asus2-client, устанавливая vpn-соединение =/

Интернеты облазил, речение есть только для линуксовых решений. А тут вся суть в роутерах...

Простите, а в чём разница с точки зрения маршрутизации?

Нормально разбивать на подсети, больше никак.

Два влана между микротиком с вафлей и микротиком-шлюзом; один для управления, второй для гостевой сети.
У меня за раздачу адресов для гостевой сети отвечает микротик-шлюз; раздающий вайфай микротик вовсе не имеет vlan-интерфейса для гостевой сети и, соответственно, никак с ней не взаимодействует. Так меньше сущностей возникает =) А на шлюзе уже разруливается фаерволом.

Для упрощения задачи читать про bridge-vlan.