Vladimir Zhurkin

Очень сумбурно написано. Задача какая в итоге ? Любой трафик в локальной сети направить на свой ДНС ?
Что бы например не могли использовать другой днс ?
Тогда в Iptables Надо сделать редерект все Udp и tcp запросов на 53 порт

iptables -t nat -I PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -I PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53

Весь трафик будет завернут на роутер.

>к этому адаптеру DNS идет Google, вместе с DNS от Socks, а нужно чтобы просто было от Socks.

Получает по DHCP ? тогда убрать из dnsmasq выдачу DNS от Google.

Нужно смотреть таблицу маршрутизации.

У меня сразу несколько вопросов:
1) зачем тогда второй интернет ?
2) почему не повесить второй интернет на один роутер и не сделать его главным ?
3) зачем вам еще одна лишняя сеть 172 да еще с маской /24 для связи роутеров ? или там есть еще что-то ?

В итоге надо прописать маршрутизацию между сетями 100.0 и 200.0.
Убрать NAT на mikrotik 1, указать default route роутер mikrotik 2.

>Возможно ли как-нибудь за счет использования fastpath/fasttrack снизить нагрузку на CPU при 100%-ой утилизации канала?

Да , это должно снизить нагрузку, но не будут обрабатывается пакеты. Тут лучше почитать как это работает.

> при 100% использовании 100 Mbit LT2P подключения?

Тут не столько важно скорость, сколько у вас соединений.
Сейчас я не готов ответить , какая нагрузка, но если интересно ночью могу попробовать сделать тесты без l2tp канала.

ip addr show ppp0 | awk '/inet/ {print $2}'

>Я смотрю и вижу, что подразумевается два сервака, которые одним интерфейсом смотрят в сеть, а вторым - в библиотеку, где лежат виртуалки.

Часто для примеров используется такой способ, это правда. Но в реальной работе я не рекомендую использовать два сервера. В данном случаи, СХД может принимать участие в кворуме. Но это почти splitbrain и я бы рекомендовал просто остановить работу, чем продолжать так его использовать.

>С моего понимания кластер делается (кроме прочего) для проолжения работы при выходе из строя одного из серваков. Вроде, всё правильно по схеме. Но неужто библиотека считается такой уж надёжной?

СХД конечно надежны, но не настолько. Обычно СХД имеет две головы (контролеры) и при создание кластера она может принимать участие в кворуме . На СХД можно поднять RAID или использовать вообще не СХД , а так называемые JBOD корзины. И всю разбивку и RAID делать средствами Windows (начиная с 2012)

При этом если вы собираетесь использовать виртуальные машины, я бы рекомендовал поднять сервер непрерывной репликации, который позволит вам сделать откат виртуальной машины очень быстро.

СХД кстати, сами могу быть в зеркале и может быть создан СХД для непрерывной репликации.
При создание кластера, надо еще помнить о коммутаторах, которые могут выйти из строя и тут приходят коммутаторы которые умеют стэкироватся между собой.

Я думаю с таким вопрос лучше пойти на сайт microsoft. Там быстрее и лучше ответят.
Посмотрите более детально, что выполняется через process explorer
https://technet.microsoft.com/ru-ru/bb896653?f=255...

На локальных интерфейсах включить reply-only или посмотреть traffic segmentation.
В ARP list вручную привязывать mac-адреса и ip-адреса роутера.
Сделать правило, которые будет тупо убивать левый udp 67\68 с других mac адресов.

Дополнительно поищите microtik DHCP snooping

Смотрите логи.