Клёвый Админ

Коллега выше (или ниже) вас вводит в заблуждение, галочка даёт возможность любы устройствам авторизовываться (а не только заранее внесённым в список), а параметры задают ограничение полосы на уровне чипа для всей карты и для каждого клинета (на самом деле всё чуть сложнее, но в целом совсем не про роуминг).

В вашей ситуации поможет правильное указание мощности усиления антены Antenna Gain на всех точках (чтобы они - точки - могли правильно определить расстояние до клиента), а так же Country будьте патриотом.

Далее есть пара сценариев реализации, разного уровня сложности:
Простой. Съориентироваться на клиентскую карточку и её умение делать роуминг (все современные чипы делают это автоматом), после установки свойств антенн - это скорее всего заработает.

Сложнее. Настроить параметры роуминга в свойствах карточки: distance (для "отсыла" далёких клиентов), signal strength range в connect list на уровне -80 db (по-умолчанию -120), а так же "играть" с периодами калибрации, чтобы переключение было "безшовнее"

Самый адовый. Верить документации и строить Mesh или WDS сеть - в этом случае теряется скорость, но существенно падает время переключения, т.к. соседние точки знают о соседних клиентах и "налету" подхватывают трафик, даже пинг не пропадает. Но тут и петли и stp и сеть и много всего нужно строить и крутить.

Я если честно остановился на первых двух пунктах - их хватило для комфортной работы. У меня было около 40-ка точек, около 400 клиентов (ноуты, телефоны, проекторы, принтеры). Но цели сделать роуминг как в сотовой связи у меня не было.

Гуд поинт. Ду ит.

Это я так сократил фразу "Отличное решение. Добро пожаловать в клуб ценителей оборудования и софта микротик".

Коллега, вы хоть скрин настроек вашей чудесной штуки прикрепите. И настройки "home" клиентов тоже.
Это будет довольно просто перевести на язык микротика, чтобы он тоже причастился подключился.

Маршруты нужно видеть. Или фильтры, или наты или манглы. Или бриджы. Или или или или...

Ну ты же уже второй раз пытаешься решить свою задачу, но так и не продвинулся в её описании. Пойми, никто не может понять какая у тебя там сеть по вот этим вот фразам "pptp server 192.168.5.1
pptp client 192.168.5.2 wan 10.10.10.10" как вообще можно хоть что-то понять по этому?

Рисуй чёртову сеть как сдедует! Где какой VPN, где какой канал, адрес, сеть, маска, шлюз, трафик, политики, днс и так далее.

Или плати админу и он тебе всё настроит за деньги.

Включаем логирование и смотрим что происходит.

Или вы рассчитываете чудом получить точный ответ на ваш вопрос? =)

Такс, из TEW нужно сделать прозрачный бридж между проводной и беспроводной средами. Сейчас это явно не так, потому давай разбираться
1. Подключаем шнурок с Hotspot из микротика в любой локальный порт TEW (т.е. со второго по пятый)
1.2. Тип соединения WAN ставим любой, т.к. WAN не задействован совсем
2. Отключаем встроенный в TEW DHCP server (вкладка LAN & DHCP Server в настройках)
3. Настраиваем Wi-Fi на нужный режим безопастности и диапазон.
4. В HotSpot убеждаемся? что авторизация есть по Cookies
5. Profit

Возможна.

1. Поднимаем сервер с ролью NPS, настраиваем на нём политики авторизации
2. Настраиваем связку между этим сервером и микротиком (это радиус)
3. Настраиваем авторизацию PPTP с использованием радиуса.

Ну и гугл же есть

Ох, ну и схема у вас. Капец.

Если всё упростить - то вам нужно на каждом вашем маршрутизаторе прописать все маршруты до других сетей через их основные шлюзы и проследить чтобы нигде не было правил NAT или Filter блокирующих трафик.

Если хотите прям ответ на ваш вопрос "Что где мне настроить и как?" То нарисуйте схему.

Изначально наврал. Исправляюсь.
Всё должно работать сразу из коробки. Для ВПН возмонжо нужно правило НАТ в сторону интернета.

Что не так? Пинг от клиента в ВПН, от ВПН в интернет и от ВПН в сеть.

А может поднять IPSec?

Расширенные логи включаются из меню /system logging, далее добавляете новый вид лога
/system logging action add name=ovpn topics=ovpn
По-умолчанию логи будут сыпаться в память, максимум 1000 строк.

Кидайте лог, бум копать =)

Необходимо выделить EX сервере в другую подсеть. NAT не работае когда вы пробрасываете порт из сети в туже сеть.

Или организовать полноценную DMZ с маршрутизацией, белыми адресами, блекджеком и шл

UPD а попробуйте ещё добавить правило по аналогии с iptables, под рукой нет rOS не могу точно сказать команду.
iptables -t nat -A POSTROUTING -p tcp --dst $EX_IP --dport $EX_PORT -j SNAT --to-source $GW_LAN_IP
Если получится - киньте сюда потом точную нотацию в микротике.