Внедрить второй Mikrotik в сеть

[Mattew]

Ситуация - есть офис, в нём стоит RB2011UiAS-2HnD в него входят 2 провайдера, на нём подключены два WG интерфейса, и от него уже идёт подключение к двум свичам, Ubiquti AP, камерам.
Подсеть на все устройства одна. 192.168.88.0
Прокинуто немного портов, ну и прописаны роуты для ВПН конектов, ( часть устройств напрямую через провайдеров, часть через ВПН, и некоторые айпишники через впн у всех).
Начал замечать что микрот не вытягивает это всё дело (иногда часть устройств отпадают на пару сек, а так как есть SIP-телефония - это критично), и как раз появился второй такой же RB2011UiAS-2HnD.
Не могу понять как правильно разбить это дело на 2 роутера, чтоб снизить нагрузку.
В идеале чтоб на одном был DHCP, а второй занимался провайдерами, фаерфолом и роутингом.
Если просто один свич втыкнуть в первый, а второй в второй, то непонятно что делать с роутами по WG
Спасибо

[xvo]

Снятие с первого DHCP особо его не разгрузит.
Вот WG вынести на вторую железку, а на первом оставить NAT и firewall - нормальный вариант.

[Mattew]

Вот WG вынести на вторую железку, а на первом оставить NAT и firewall - нормальный вариант.

В таком случае как я смогу разграничивать роуты?
Для тех ресурсов которые всегда на впн это ок, но вот для машины я ж не смогу с второго микрота контролировать кто будет выходить чистым, а кто под ВПН
У меня все машины маркируются в мангле и под эту маркировку роут выдаёт WG
Исключения (камеры, охрана) я добавляю им другую маркировку и они идут чистыми и на второго провайдера, и свою мину время от времени перекидываю, на резервный инет, или резервный впн и прочее.

[Mattew]

Можно конечно соединить их через 2 порта, один чистый, второй под впн, и уже на основном прописывать в роутах кто куда выходит

[xvo]

У меня все машины маркируются в мангле и под эту маркировку роут выдаёт WG

Ну вот и отправлять их на второй микрот, а уже с него все уйдет в туннели.

[Mattew]

Ну вот и отправлять их на второй микрот, а уже с него все уйдет в туннели.

Так я е писал что маркировки у машин могут быть разные, одни на один ВГ, другие без, третьи на другой ВГ

[xvo]

Ну так и получится: что без маркировок, слать на первом роутере наружу .
Что на один WG - например в одном vlan'е на второй роутер отправлять, на другой WG - в другом vlan'е.
И там две разные vrf.
Ну или если там не шибко сложные критерии маркировки, то может получится на втором роутере это без mangle разрулить - чисто через route rules, даже без vlan'ов и vrf.
Но в принципе, даже если на втором роутере уже просто дублировать маркировку в mangle, но без nat'а и firewall - им уже обоим попроще будет, чем когда все на первом.

[Mattew]

Ну или если там не шибко сложные критерии маркировки, то может получится на втором роутере это без mangle разрулить - чисто через route rules, даже без vlan'ов и vrf.
Но в принципе, даже если на втором роутере уже просто дублировать маркировку в mangle, но без nat'а и firewall - им уже обоим попроще будет, чем когда все на первом.

понимаю, что ничего не понимаю.
а как можно её дублировать?
там критерии - все кроме энных айпи получают маркировку VPN-1
остальные уже прописаны каждый айпи отдельно

[xvo]

а как можно её дублировать?

Ручками
Но конечно, если там список отдельных IPшников, да ещё и добавляется/удаляется что-то, то проще с двумя vrf сделать.