Добрый день,

Подскажите, как правильно сделать подсеть для управлением всеми клиентскими точками на миктротике через радиолинк и чтобы это было достаточно безопасно.

Рекомендую использовать "нетивный" VLAN для управления устройствами . Сеть на native влане не должна маршрутизироватся для клиентских адресов .

Дайте пример реализации.

пример сети?
или пример конфигов всех устройств в сети

А можно то и другое? Для повышения квалификации.

к примеру есть 4 портовый свитч с поддержкой vlan
1порт - транковый, на который приходят и уходят все vlan
2порт - vlan2
3порт - vlan3
4порт - vlan4

для того чтобы разделить эти сети, нужно в настройках каждого порта сделать следующее:
настройка для vlan2
1 порт - тагированный (tagged), 2 порт - не тагированный (access port), 3-4й порты отключены
настройка для vlan3
1 порт - тагированный (tagged), 2 порт - отключен, 3й порт - не тагированный (access port)
настройка для vlan4
1 порт - тагированный (tagged), 2 порт - отключен, 3й порт отключен, 4-й не тагированный (access port)
теперь делаем нетивный влан (native vlan), выбираем его например vlan8 и аналогичным образом настраиваем порты для этого vlan, т.е. фактически мы будем иметь доступ на свитч только с vlan8, на портах, которые ппедварительно настроили.

Это всё классно.
Есть другой пример, есть вай-фай база к ней законекчено 5 точек в режиме WDS Bridge.
1. Как сделать сеть между ними, что бы можно было нормально их конфигурить.
2. И чтобы эту сетку не видели с клиентских точек через забриджований интерфейс.

Ну ты и завернул. Хотя по моему опыту етот WDS не очены то работает хорошо я к примеру у себя точки законектил ликами п2п. на 3 км прокачка 12мб.с без никакой нагрузки !

Еще как вариант - фаерволом зарубить,
еще вариант - тунелировать клиентский порт до роутера - терминатора , ну и тд. , вариантов множество !!! Все зависит от топологии сети.