> 802.1x - вам поможет, mikrotik поддерживает.
> И для wifi и для ethernet, и никакой пароль не утечет, ибо
> каждый ответственный за свой пароль, и если его пароль утечёт что
> и иметь будут его.
> И не мудрите с сетями и масками, вы еще далеки от понимания
> этого, учитывая вашу писанину.

Ну да, конечно же! 802.1x ему строго необходим, заодно с RADIUS разберется, его взаимодействие с LDAP/AD настроит... Повеселиться от души...

Лучше уж разобраться с адресацией... И самое главное - с понятием интерфейса, физического и виртуального, чтоб не возникало вопроса "как сделать так чтоб устройство получало адрес из определенной подсети". А ответ простой - оно всегда получает адрес из той подсети, адрес которой присвоен тому интерфейсу (физическому или виртуальному - не важно), к которому подключено это устройство.

Поясняю на примерах - у нас есть роутер с тремя физическими интерфейсами L3, eth0, eth1 и eth2. Пусть eth0 всегда подключен к сети ISP (WAN), eth1 и eth2 - к LAN. Назначаем им соответственно адреса eth1 192.168.1.1/24 и eth2 192.168.2.1/24. Тогда устройство, подключенное к eth1 получит по DHCP адрес из подсети 192.168.1.0/24, а к eth2 - из подсети 192.168.2.0/24
А что делать если у нас на роутере всего два физических интерфейса L3 - eth0 и eth1? Создаем два VLAN? ну пусть это будет VLAN 10 и VLAN 20 (1й VLAN - особенной, это тоже самое что и отсуствие VLAN-ов). При этом в роутере создается два виртуальных интерфейса - vlan10 и vlan20. Далее - аналогично, назначаем им соответствующие подсетки и подключаем устройство к нужному VLAN - и он получает нужный IP.

Как подключить устройство к нужному VLAN? Правильный путь - использовать управляемый коммутатор, просто на нем назначаешь соответствующие порты соответствующим VLAN. Положим порты с 1-го по 10й - VLAN 10, а с 11-го по 20й - VLAN 20. Неправильный (но иногда единственно возможный) - прописать на оконечном устройстве номер VLAN, к которому он подключен.