Valentin Net

Проверьте, что-бы версия нетинсталла совпадала с версией прошивки.
Также если не поможет, попробовать с другого компа. Было несколько раз, что роутер видится , но не шьётся - помогала только смена компа.

Когда настраиваю фаерволл, всегда добавляю это правило, после правил разрешающих related и established трафик. Правда обычно вх.интерфейс не указываю, что-бы всегда срабатывало.

А зачем для проброса портов его маркировать?
И ещё, откуда вы его пробрасываете? Если из интернета, то это правило не очень - "add action=accept chain=input connection-state=new dst-port=3389 in-interface=LAN protocol=tcp src-address=192.168.88.0/24"
Здесь указано, что входящий интерфейс локалка, а должен быть wan интерфейс.
В фаерволле вы просто разрешаете соединение на этот порт-
action=accept chain=forward dst-port=3389 in-interface=WAN protocol=tcp
И это проходящий трафик для роутера, а не входящий.

По простому - виндовый клиент должен знать где находится сеть 10.8.0.0/24.
Укажите ему что эта сеть находится за 172.16.2.1 (адрес роутера)

Это когда нужно через один порт передать несколько сетей, что-бы они не пересекались. А на след.устройстве их разделить.
Например - большая компания, у каждого отдела своя сеть. На этаже стоит большой свитч и все подключены к нему. Без вланов нужно было бы каждому отделу тянуть свой линк, ставить отдельный свитч. А так один линк и комутатор разделяет сети и раздает на порты нужные сети.
Вобщем Влан - это виртуальные сети на одном физическом железе.

В настройках L2TP есть пункт Dial on Demand
Простым языком - использовать при необходимости.

На микротике можно

wiki.mikrotik.com/wiki/Manual:Interface/Bonding

Вланы ваше все.

http://wiki.mikrotik.com/wiki/Руководства:Интерфей...

Нужно прописать маршруты.
Например для 192.168.21.0/24 шлюз будет 172.16.30.3
и так на каждом роутере для каждой сети.

Создав бридж и обьеденив влан и физ.интерфейс - вы получили на выходе нетегированный трафик.
Что-бы получить на выходе тегированный трафик, просто добавляете влан на нужный интерфейс.
Подробнее - wiki.mikrotik.com/wiki/Manual:Interface/VLAN

Подскажите в чем конкретно неудобство отдельной настройки роутера и точки доступа?
К тому же, при правильной настройке - вряд-ли вы будете каждый день перенастраивать оборудование.
И если CRS125-24G-1S-2HnD-IN планируется в качестве роутера, то это не самое лучшее решение.