Клёвый Админ

Трафик между клиентами в вайфай сети разрешён у вас? Подключите через провод ПК и проверьте - если найдёт - настройки вайфая поправить необходимо вам. Да прибудет с вами сила =)

Я понял, вы не из РФ и пишите сюда, в надежде, что вам смогут помочь. Боюсь это тупик. Вам нужно найти профильный форум по тематике в вашем регионе и задавать вопросы там.

Например официальный англоязычный forum.mikrotik.com
Либо можете нанять администратора для настройки или обучения вас.

Ну и по вашей задаче:
1. Необходимо иметь белую сеть, с достаточным количеством адресов.

2. Если обязательным условием является разграничение трафика между vlan'ами на уровне l2, то в каждом VLAN микротик должен иметь белый IP адрес, и девайс из VLAN должен иметь белый адрес, а адрес микротика в этом VLAN для него должен быть шлюзом. Сеть придётся порубить на мелкие кусочки.

3. Если п.2 не обязательный - то все VLAN следует на микротике объеденить в Бридж, на бридж у микротика назначаем белый адрес и на все девайся выдаём тоже адреса, микротик для них шлюз. Сеть при этом остаётся одной.

По пункту 2 есть обходной манёвр, когда мы извращаемся с бриджом и\или правилами файрвола, обходясь одним адресом на MK (без разделения основной сети на мелкие под сети), но не объединяя среды, но я вам его не советую ибо херня всё это.

Всё зависит от того как дана вторая сеть, если она дана вам как маршрутизируемая через ваш узел (т.е. вы являетесь маршрутизатором ответственным за сеть чтото/29 то вы назначаете её на другой любой интерфейс, и раздаёте из неё адреса в той физической сети, куда смотрит этот интерфейс, забираете из неё любой один адрес для самого маршрутизатора - всё это про совет рядом от Руслана, вроде бы там всё просто)

Если же сеть дана как вторая на внешний интерфейс, то провайдер уже смаршрутизировал её у себя и сам занял один адрес и является шлюзом в той сети, в этом случае вам нужно раздать её используя бридж, т.е. машины, которые должны иметь адрес из этой сети должны физически смотреть во внешнюю сеть, не через ваше устройство - а значит вам нужно сбриджевать внешний линк и, скажем, vlan проброшенный в локалку, и этот vlan вы уже принимаете на интерфейсе нужной машины и получаете на нём внешний адрес из сети чтото/29, указывая шлюзом узел чтото.1/29

В целом вторая схема ущербная и провайдер с радостью перейдёт на первый вариант (стоит его только попросить), но скорее всего у вас именно она (на это намекает указание gw 2.2.2.1 в вопросе - т.е. провайдер как бы заранее знает шлюз, т.е. скорее всего он им и является).

Позвоните в ТП - уточните что у вас за вариант, и перейдите на первый вариант - DMZ, тогда трафик будет идти через ваш марш, и будет им контролироваться в полной мере.

Как бы вот ответ. Ничего настраивать не нужно.

"Starting from v6rc10, CRL will be automatically renewed every hour for certificates which have "trusted=yes" using http protocol (ldap and ftp is currently unsupported). Segmented CRL is also currently unsupported"

wiki.mikrotik.com/wiki/Manual:System/Certificates

Либо у вас firewall, либо трафик не стандартный, multicast например.