Для настройки MikroTik для тунелирования трафика только для определенного входного интерфейса (например, ether2), вы можете использовать следующие шаги:
1. Создайте Wireguard интерфейс на роутере MikroTik:
```bash
/interface wireguard add name=wg0 private-key=private_key listen-port=51820
```
2. Настройте параметры Wireguard интерфейса и добавьте peer (удаленного хоста):
```bash
/interface wireguard set wg0 mtu=1420
/interface wireguard peer add allowed-address=0.0.0.0/0 endpoint=REMOTE_IP:51820 interface=wg0 public-key=public_key
```
3. Настройте IP адрес и маршруты для Wireguard интерфейса:
```bash
/ip address add address=10.0.0.1/24 interface=wg0
/ip route add dst-address=0.0.0.0/0 gateway=10.0.0.2
```
4. Настройте маршрутизацию и фильтрацию трафика для интерфейса ether2 внутри Wireguard туннеля:
```bash
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=ether2 new-routing-mark=to-wg
/ip route rule add action=lookup chain=prerouting in-interface=ether2 routing-mark=to-wg
/ip firewall nat add action=masquerade chain=srcnat out-interface=wg0
```
Теперь трафик, проходящий через интерфейс ether2, будет тунелироваться через Wireguard, в то время как все остальные интерфейсы останутся вне туннеля.
Пожалуйста, обратите внимание, что приведенный пример предназначен для обозначения шагов для этой конфигурации и может потребовать дополнительных настроек в зависимости от вашей сетевой конфигурации. Не забудьте заменить `private_key`, `public_key`, `REMOTE_IP` и другие значения на реальные данные для вашей сети.