Александр Романов

На wAP добавляйте оба интерфейса в бридж, wifi в режим station bridge, обязательно отключите DHCP-server. В таком случае точка должна быть прозрачной и дополнительных настроек не потребуется. Если же не хотите прозрачности, то убирайте бридж, вайфай в station, в NAT правило с out-interface=wlan1 action=masquerade, на лан-порт DHCP сервер. Но по мне, это не имеет большого смысла.

В файерволе измените цепочку input на forward в правиле, открывающем 1720 порт (т.к. dst-nat отрабатывает в prerouting). В НАТе у вас два dstnat'a, один из них c comment=Polycom рулит ВЕСЬ тсп-трафик на 192.168.0.6:1720. Не уверен, что Вам это нужно, отключите его. Цепочку output использовать вообще нецелесообразно - это траффик, который генерируется самим роутером.
Разбирайтесь с файерволлом. Чтобы понять его лучше, используйте этот материал. Да, сложно. Но проще один раз разобраться.

Правильно я понял, что 3g используется только для openVPN и только для менеджмента и доступа к НАС?
Создайте OpenVPN server binding для openVPN клиентов, после этого следуйте в файерволл.
Тогда два правила файервола вам помогут.

/ip firewall filter add chain=input in-interface=ovpn-in1 action=accept 
/ip firewall filter add chain=forward  in-interface=ovpn-in1 dst-address=!192.168.88.100 action=drop

Разместите их в файерволе повыше, до дропающих правил, добавьте удобные Вам комменты (чтобы не забыть, что это за правила). Enjoy.
Если не будет работать доступ к нас - копайте маршруты.

1. На мастерточке используется access list, на клиентской - connect-list. При использовании коннект-листа необходимо сделать поле SSID в настройках интерфейса неактивным. Тогда точка будет искать совпадение с коннект-листом. При добавлении записи в коннект-лист необходимо иметь уже созданный security profile.
2. Скан-лист на мастерточке используется только для беспроводных утилит. А точка вещает на заданной частоте (если не auto). На клиентской точке он используется также для обнаружения мастерточки.
3. Как вариант защиты от подключения к левым точкам, настройте мост, например, в nstreme. У этого протокола преимущество в стабильной передаче большого потока RX или TX траффика. И вдобавок он проприеритарный. Жёстко укажите wireless protocol на обеих точках.

Я бы не советовал использовать WDS в силу некоторых особенностей и резкого снижения пропускной способности. Если домашний вайфай раздаётся не микротиком, используйте режим station. Порты нужно объеденить в свитч-чип (в настройках всех портов, кроме первого, назначьте masterport ether1). Навесьте ip-адрес на порт, создайте DHCP-server с помощью волшебной кнопки DHCP setup. Не забудьте сделать правило в NAT:

/ip firewall nat add chain=srcnat out-interface=ISP1 action=masquerade

Подключайте компьютеры витухой к роутеру и радуйтесь :)

Как вариант - добавьте в connect list точку вручную, указав SSID и профиль безопасности (создав предварительно профиль безопасности). После чего в режиме выберите station bridge, поле SSID сделайте неактивным и примените настройки. Попробуйте. И, конечно же, логи в студию!

Если сеть будет расти (как описано в первом ответе) - ждите 3011, очень вкусная железка. А если задача такая, как Вы описали - тут, действительно, хватит и RB951G-2HnD. А так - смотрите сами.

на микротике добавляйте маршруты к вашим впн-ам на джунипере через джунипер

/ip route add dst-address=10.0.1.0/24 gateway=10.0.0.1
/ip route add dst-address=10.0.2.0/24 gateway=10.0.0.1
/ip route add dst-address=10.0.3.0/24 gateway=10.0.0.1

На джунипере соответственно должен быть маршрут к 172.16.0.0/24 через 10.0.0.2
У каждого компа должен быть гейтвей именно из его подсети.

Если постоянно нужен доступ только к одному серверу через один провайдер - сделайте статический маршрут к нему.

/ip route add dst-address=88.88.88.88 gateway=your-pptp

Вместо 88.88.88.88 подставьте ип-адрес вашего сервера.
Далее для PPPoE подключения сделайте дистанцию маршрута по умолчанию, например, 1, а для PPTP - 2 (для отказоустойчивости). Не забывайте сделать маскарадинг на оба туннеля.
В данной задаче маркировка - стрельба из пушки по воробьям. PBR актуален, когда кроме (или вместо) dst-address нужно ловить трафик по каким-то другим условиям.

Если есть определённый список сайтов, то самым правильным решением будет сначала разрешить имена этих сайтов в определённый адрес-лист. Для этой цели нашёл замечательный скрипт.

:local DNSList {"example.com";"non-exist.domain.net";"server.local";"hostname"}
:local ListName "MyList"
:local DNSServers ( [ip dns get dynamic-servers], [ip dns get servers ], 8.8.8.8 )
:foreach addr in $DNSList do={
     :foreach DNSServer in $DNSServers do={
          :do {:resolve server=$DNSServer $addr} on-error={:log debug ("failed to resolve $addr on $DNSServer")}
     }
}
/ip firewall address-list remove [find where list~$ListName]
/ip dns cache all
:foreach i in=[find type="A"] do={
    :local bNew true
    :local cacheName [get $i name]
    :local match false
    :foreach addr in=$DNSList do={
       :if (:typeof [:find $cacheName $addr] >= 0) do={
           :set $match true
       }
    }
    :if ( $match ) do={
        :local tmpAddress [/ip dns cache get $i address]
        :if ( [/ip firewall address-list find ] = "") do={
            :log debug ("added entry: $[/ip dns cache get $i name] IP $tmpAddress")
            /ip firewall address-list add address=$tmpAddress list=$ListName comment=$cacheName
        } else={
            :foreach j in=[/ip firewall address-list find ] do={
                :if ( [/ip firewall address-list get $j address] = $tmpAddress ) do={
                    :set bNew false
                }
            }
            :if ( $bNew ) do={
                :log debug ("added entry: $[/ip dns cache get $i name] IP $tmpAddress")
                /ip firewall address-list add address=$tmpAddress list=$ListName comment=$cacheName
            }
        }
    }
}

Взято отсюда
В скрипте в первой строчке укажите список доменных имён, которые необходимо заворачивать на прокси.
После того, как у вас есть готовый адрес-лист, добавляйте правило в НАТ примерно следующего вида:

/ip firewall nat add action=dst-nat chain=dstnat comment=MyProxy disabled=no dst-address-list=MyList dst-port=80,443 \
    protocol=tcp to-addresses=<адрес прокси>

При необходимости меняйте порты в правиле. Также можно добавить в правило NAT src-address=!<ip-адрес вашего прокси>, если прокси находится в той же сети, что и другие домашние компы. Если он где-то вне домашней сети, это не требуется.
Не забудьте добавить скрипт в scheduler, чтобы он периодически запускался (чаще, чем ТТЛ днс-записей).

Необходимо настроить маршрутизацию. Либо статическую, либо динамическую.

/ip route add dst-address=192.168.1.0/24 gateway=your-vpn-name

на каждом из клиентов.
На сервере при этом желательно создать l2tp-binding интерфейсы и аналогично создать правило маршрутизации для каждой подсетки.

/ip route add dst-address=192.168.0.0/24 gateway=your-1vpn-name-binding
/ip route add dst-address=192.168.2.0/24 gateway=your-2vpn-name-binding

Но по мне проще поднять оспф на всех девайсах, а он сам добавит все необходимые маршруты.

Уже несколько вариантов решения представлены. Ещё вариант решения одной строкой:

:local "current-ip" [:pick [/ip address get [find interface =PPPoE] address ] 0 3]
:if ($currentIP = 213) do={
/interface pppoe-client disable PPPoE
:delay 30
/interface pppoe-client enable PPPoE
}

Не вижу необходимости в глобальной переменной.
И не забудьте в scheduler задачу добавить.

Полагаю, создать address-list c ip-адресами, привязанными к этим макам, а в правиле файервола указать src-address-list!=YourListName. Либо жёстко в файерволле создайте разрешающие правила с вашими src-mac-address=00:18:C0:61:F0:20 И разместите их над запрещающими. Тогда даже если будет запрещающее, оно не сработает. Либо создавайте массив с вашими исключениями, сравнение новых маков со всеми ключами массива, при несовпадении - создание правила. При совпадении - следующий.

А почему не использовать прозрачный прокси (самый простой способ). А второй не сильно сложнее - создать список в address list с ip разрешённых сайтов, а в файерволле добавить /ip firewall filter add chain=forward dst-address-list=!allowed action=drop и задрать его повыше. И файерволл читать удобнее будет, и нагрузка на проц почти не возрастёт (не будет гнать пакет по всем правилам на предмет совпадения dst-ip), а комменты везде подписать можно.
А ещё бесподобный скриптинг в микротике позволяет сделать всё то, что в РОС реализуется с трудом. Например: habrahabr.ru/post/242143/. Возьмите за основу, допилите под себя.