AntHTML

Если на Вашем МТК VPN-клиент (Вы подключаетесь к белому адресу филиала), то белый адрес Вам не обязателен ни на своем канале, ни на резервном.
Если у Вас VPN-сервер, то на соседнем MTK настраиваете статический IP и проброс порта с VPN на свой MTK, на MTK филиала настраиваете второй VPN на IP соседа и или метрикой маршрута его занижаете или скриптом запускаете при падении первого.
PS: а резервирование хоть реальное (разные провайдеры, разные трассы)? А то 2 MTK подключенных к 2м ONU которые подключены к одному PON-сплиттеру спасет разве что от отсутствия денег на счете.

Нужно делать не репитер, а роутер с WWAN.
Создать отдельное клиентское подключение к сети wifi в свой отдельный бридж или интерфейс
и настроить роутинг по классической схеме "2 провайдера"

Смотря для каких задач этот шлюз приобретается
UserGate, Ideko NGFW, - "отечественные" - "правильные" решения - если начальству нужны определенные сертификаты, то у микрота их может не быть / не будет однозначно.
Как выше сказали, в микроте, т.к. это всетаки маршрутизатор, очень скудные настройки L5-L7. Не переварят они глубокий анализ трафика на вирусы, спам, фишинг и т.п., особенно по шифрованным протоколам.
Так что, не редки схемы когда микторы стоят в одной сети с UG/Kerio/Ideco первые занимаются одним, вторые другим.
Некоторые вещи из UG на микроте настроить конечно можно, но с лютыми костылями, хотя по сути и ROS и IDECO надстройки над iptables.

167 - "замыкание на себя" = не удалось получить IP.
Очень похоже на то что у вас не подружился VLAN микрота и дглюка, либо же на d-link-е на физпорт прописали транком вместо аксеса.
В общем, если на микроте есть свободный порт, то вбросить его в тот же бридж 1005, посмотреть как работает локально, а потом уже протягивать порт через свитч.
Да и никаких forward-ов арендатору не надо. Обычный гостевой NAT делать

Сервера - только статика. глюк dhcp сервера = не рабочая сеть
Стационарное железо - желательно статика (ну, лично мне, просто так проще, составлять карту адресации, потому как диапазоны ip привязываю к кабинетам/людям/отделам)
Мобильное железо - на DHCP: либо полная динамика либо, если требуется статический ip - резервация по MAC. Позволяет на ноуте/телефоне/планшете оставить сетевые настройки по умолчанию и без проблем подключаться к любой сторонней сети

1. Изучить точки доступа на предмет наличия VLAN, тогда из микротика можно попытаться отправить на точки тегированный трафик, который они и будути раздавать в эфир на мобильныки, но уже в access виде.
2. Сеть видеонаблюдения изначально смотреть как можно максимально физически разнести с сетью передачи данных
3. 3 порта объединять не нужно, достаточно навесить на один бридж 3 шлюза
4. На сколько помню, у микрота, давольно примитивный DHCP, он не умеет выдавать адреса в зависимости от префикса mac запрашивающего устройства, поэтому тут если только костылить в сеть сторонний DHCP который будет отличать компы от камер и телефонов и раздавать таким образом адреса из разных подсетей
5. ну либо, как пишет Rsa97 поднимать маску и всех временно в одну подсеть с вероятностью получить шторм из-за подвисшего айфона, который положит всю сеть, включая видеонаблюдение до одновременной перезагрузки всей активки.

Ну, если хочестся относильно рабочую конфигурацию, то можно попробывать:
Создать виртуалку с характеристиками аналогичными модельке (количество портов, оперативка)
Поставить на нее CHR
Переименовать интерфейсы по аналогии с железной версией
Настроить конфигурацию
Сделать export compact и сохранить скрипт
Взять целевую железку
Сбросить на default config
Залить скрипт через терминал
Авось и взлетит

CCR2116-12G-4S+ по производительности конечно лучше чем CCR2004-1G-12S+2XS не говоря уже о "коммутаторах с функцией маршрутизации"
Примерно 500 пк, возможно до 700 в процессе развития - брать сразу пару c подъемом на них VRRP, MLAG и тп

1. CRS326 - свич, с возможностью фильтрации и легкого NATa, от того что Вы написали он загнется.
2. Вполне норм, по практике если в домене <50-70 юзеров, то вреда от домена больше чем пользы, т.к. большинство плюшек домена нормально не развернешь - тупо не хватит юзеров чтоб построить вменяемую иерархию каталогов и написать многолюдные ГПО
3. разбираться что конкретно тормозит, далеко не факт что сеть и маршрутизация
4. WI-FI да, уводить в отдельную сеть

По задачам:
1. AD только если планируете сильно рости
2. ВПН отдельной железкой или виртуалкой

1. В чем больше понимаете, то и ставите MTK более понятен линусятникм/виндузятникам чем нацеленный на сетевиков CIscoLike
2. В зависимости от схемы и расположения можно и пяток CRS326-24G-2S+RM по этажам, а если все сводится в одну серверную, то лучше пара-тройка CRS354-48G-4S+2Q+RM в кольце. CCS лучше не берите, они управляются только WEB, ни CLI ни SSH/TL не имеют
3. роутеры смотрите на https://mikrotik.com/ по требуемой производительности 1100 и 4011 - по сути одно и тоже только в разных корпусах (ну 1100 мож понадежней, особенно dude). Сейчас набирает популярность 5009 вроде тоже ничего железка.

1. 3011 проигрывает по цена/мощность 4011
2. CRS328-24P - если юзать меньше 10 портов по POE то тоже не ахти бюджетное решение
3. Как уже сказали cAP/wAP(ac) + все что может быть подключено проводом - должно быть подключено проводом
4. GPON+РТК+SFP+%чтоугодно% - не совместимы (практически всегда совсем (без разговоров со стороны РТК), технически - крайне редко и костыляво) - самое простое и надежное (повсеместно используемое) - РТК-модем в бридже

В бридже на L2 никак, только в роуте на L3.

Я бы лучше писал скрипт подъема WIFI, именно коннекта WIFI, а не маршрута по недоступности пинга основного шлюза с eth1
чтобы а: не нагружать эфир постоянным бесполезным устройством. б: не городить всякие дистансы и тп.
А вообще перед ремонтом крайне желательно всю стационарщину перетягивать на нормальный CAT6-7, чтоб не сталкиваться с вот такими костылями

У микротиков не бывает Ethernet и LAN портов, у него все порты равнознвчны
Лучше укажите модельку тика и что конкретно нужно сделать, 2 разные подсети или одна подсеть и 2 шлюза?

В IP->Adressess посмотреть что висит на eth3 и задать из этой сети

Обеспечение безопасности делается не только программно-аппаратными, но и административными средствами.
Интернет должен ходить через проксю исключающую возможность простого выхода на нее с мобильника, и естественно с логированием кто куда лазит.
В части левых роутеров - достаточно иметь ссылку в должностной/контракте на политику ИБ. В которой прописан запрет на самовольное подключение любых устройств и изменение ключевых настроек.

А в чем собственно проблема?
1. Создаем бридж 1 из 1-5,10 и назначаем с него роуты на PPPoE-eth1
2. Создаем бридж 2 из 6-9 и назначаем с него роуты на PPPoE-sfp
Вот вам и 2 роутера в одной железке. Капсман тоже помойму вяжется на интерфейсы/брижи, управление - тоже роутинг входящего/исходящего трафика.

PS: Но не понимаю зачем городить такую конфигурацию при цене 951го 40$? Если только потом строить маршрутизацию между LANами или резервирование WANов, а две полностью изолированные сети на одной железке - оно то возможно, но нафик нужно.

1 порт SFP = 1 порт RJ45. Просто другой разъем.
1-2 волокна в SFP это не 2 канала, а по одному прием, по другому передача, иногда и трансивер и ресивер работают по одному волокну.
Для целей видеонаблюдения я бы тянул от каждой точки до офиса по 2 волокна.
В идеале, можно, допустим, взять 4-8ми волоконный кабель и и разварить его муфтами в каждой точке выведя по 2 волокна с обеих сторон.
Ну и в офис любой L2-L3 свич на 16+ SFP или если хватит денег то SFP+, чтобы заложить возможность перехода на 10G

Мой вариант:
На микротике насоздавать VLANов с обычной маршрутизацией через nat, а не pppoe. в каждый vlan забросить dhcp.
Пробросить все на dlink-и и там либо ручками прописать на порты, либо (в идеале) если кабинетов/пользователей много, то поднять radius и пускай свичи по 802.1x сами всех раскидывают. В принципе также можно скриптами прописать и генерацию сетей на mikrotik-е.
Подобные схемы иногда используют мелкие провайдеры.