Антон Иванов

Если dhcp не требуется, то просто добавляем второй лан ип на микроте и нужную подсеть. Все.

Вайфай в данном случае не играет роли, тоже самое что и с обычным портом. Выносим его в отдельный бридж и прописываем маршрут в туннель.

Я предполагаю, что надо исключить тогда микротик, т.к. в данной схеме он не будет использоваться. Ставим коммутатор перед микротом, в него аплинк. Далее один провод идет в микрот, другой в сервер виртуализации.

в полиси src-address=192.168.88.0/24 src-port=any dst-address=192.168.1.0/24 тут указываешь внешние адреса.
В нате из маскарада убираешь удаленную сеть, оно и так туда не пойдет.
В фаерволе отключи все на время настройки.
Создай интерфейс для впн подключения, в роуте в качестве шлюза выставляешь его.
Вроде так