Схема -

Казалось бы, масса примеров описана, но они решают слегка другую задачу - Микротик там выступает центральным роутером, в который приходит интернет от провайдера, и на нем поднимают одну или несколько подсетей (LAN/WiFi), включая изолированые гостевые HotSpot.
Там везде WAN от провайдера не требуется защищать, а достаточно завести VLAN-ы на уникальных IP-подсетях, которые между собой и изолируются:
http://www.technotrade.com.ua/Articles/ ... -05-08.php
http://www.technotrade.com.ua/Articles/ ... _setup.php
У меня же отличие в том, что от провайдера стоит роутер, от которого не избавиться (коаксиал/DOCSIS), он раздает домашнюю сеть (LAN1, 192.168.0.0, которую и нужно защитить), и он же (192.168.0.1) выступает WAN-Gateway для MikroTik-а, на котором уже и хочу поднять небезопасную сеть (LAN2, 10.1.1.1).
Проблема связана с тем, что поскольку 192.168.0.1 является Gateway-ем, то в Роутере непросто перекрыть доступ в подсеть LAN1 (192.168.0.0/24), т.к. и DHCP client туда ходит, и NAT и Ether1.
В итоге, в своих экспериментах я либо отрубаю интернет в LAN2 (10.1.1.0), или из LAN2 свободно пингую сервера, расположенные в LAN1.
Я не хочу обрисовывать варианты, которые уже перепробовал, т.к. боюсь усложнить пост. Лучше, если кто-то из понимающих предложит правильную конфигурацию. Я готов ее протестировать и отписаться.
(только просьба, описывать по-подробнее свои предложения, т.к. я явно какие-то тонкости Микротика упускаю).
Я думаю, я не одинок в такой схеме.
И мне именно такую схему хочется реализовать по разным причинам, но открыт к предложениям.
Готов заплатить за настройку. Пишите в личку.
Заранее спасибо!