No když budeš dělat NAT, tak veřejná IP "zmizí" na tom routeru. Kam pak budeš směrovat porty je už na tobě a je úplně jedno jestli tam máš normálně jednu domácí síť, nebo několik izolovaných sítí.
Jo bylo by tam 3xDHCP
Já provozuju něco podobnýho - cíl byl mít jednu wifi síť co pojede přes záložní linku. Mám hlavní router kde je 2x masquarade, jako source je u jedné jeden rozsah, u druhé druhej. Běží 2x DHCP (jeden pro normální síť, druhej pro tu záložní). Pro rozlišení která výchozí brána bude kterej internet mám přes
https://systemzone.net/mikrotik-load-balancing-over-multiple-gateway-2-wan/Na Mikrotiku se s VLAN zachází vcelku jednoduše -vytvoříš novou a řekneš nad kterým fyzickým interfacem má běžet. Může běžet i nad bridgem. Ta VLANa ti vytvoří jakoby další interface se kterým funguješ jako normálně s fyzickejma - tzn ho můžeš dávat do bridge, přidávat na něj IP atd...
No takže já si vytvořil VLANu nad bridgem, dal jí VLAN ID 101 a na ní běží DHCP, má IP atd atd
Na jednotlivých Wifi AP je to ještě jednodušší s těma VLANama:
mám nastaveno klasika v bridge všechny interface (eth+fyzická "normální" wifi).
Pak jsem vytvořil virtual AP, nastavil mu serepatičky jako security profil, jméno atd a v nastavení nastavil VLAN mode: Use tag, VLAN ID nastavil na výše zmíněných "101"
Tento nově vytvořený interface jsem přidal taky do bridge. No a funguje to.
(ty VLANy šly dělat i jinak - tzn přidat VLANu, přidat virtuální AP a tyhle dvě věci hodit do svýho separátního bridge) - tohle by mělo výhodu kdybys chtěl třeba na tom APčkovým mikrotiku nějak dostat IP adresu z toho druhýho rozsahu. Protože tím stylem jak jsem popsal výše to jen dělá virtální AP s tou VLANou a nic dalšího přes VLAN nekomunikuje
Jak se to chová když je mezi hlavním mikrotikem a APčkama další switch? Asi záleží co je to za switch - Některý AP jsou přímo Mikrotik-mikrotik a tam to funguje tak jak jsem psal a toť vše. Některý jsou přes managovatelnej a v něm se musely ty VLANy taky definovat a říct na kterých portech mají fungovat. Jak by se to chovalo v případě blbýho switche nevím - možná stejně jako při propojení Mikrotik-Mikrotik. Hloupej switch by neměl ty VLANový rámce nijak řešit a "vybalí" si to až cílovej mikrotik.
Samozřejmě nezapomínat že VLANy v téhle konfiguraci nejsou úplně bezpečnostní fičura, ale spíš jen tak pro pořádek a rozlišení provozu