Непонятный ip-адрес в микротитке?

Ну если камера не на отдельном, изолированном свитче или vlan, то другая подсесть роли не играет, ваш dhcp сервер будет обслуживать и их тоже.
Ищите по маку, что за устройство, ведь судя по скриншоту длинки у вас управляемые и расскажут вам на каком порту оно живёт.
Ну и гляньте, нет ли у вас включенного dchp server screening?

Как превратить 46 линий интернета в 46 разных wi-fi?

АртемЪ, Если это квартира со стенами, то все очень даже нормально будет работать, не на 300 мбитах, но для работы хватит за глаза.

Как превратить 46 линий интернета в 46 разных wi-fi?

АртемЪ, Если грамотно расположить и настроить точки, то все будет нормально.

Как превратить 46 линий интернета в 46 разных wi-fi?

6 точек хватит (или 3, если одновременно использовать 2,4GHz и 5GHz на одном устройстве), 3 в 2,4GHz и 3 в 5GHz, все на не пересекающихся каналах. Выйдет по 8 устройств на канал, что вполне нормально. А если все клиенты поддерживают 5GHz, то от 2,4GHz можно отказаться.

Mikrotik: Маршрутизация в обход VPN. ЧЯДНТ?

Kameleon3107, Изменить существующее. Сейчас у вас при срабатывании первого правила, трафик маркируется меткой throughtVPN и обработка заканчивается, до второго правила дело не доходит, passthrough=yes разрешит просмотреть еще правила стоящие ниже.

Mikrotik: Маршрутизация в обход VPN. ЧЯДНТ?

Проверяете доступ к ресурсам из листа woVPN, с ip адресов не входящих в лист inVPN?

DHCP клиент (Debian) не может обнаружить сервер (но netinstall смог выйти в сеть). Как нужно перенастроить сеть?

Ну статический адрес не работает, потому что на шлюзе настроен arp response only, он вносит в свою arp таблицу только те маки, которые передал ему dhcp server и не принимает никакие другие.
На пинги dhcp сервер может и не откликаться, т. к.,возможно, пропускает только udp 67,68
Все остальное похоже либо на криво работающий ONU, либо коряво настроенный dhcp-snooping на железке провайдера, либо сам DHCP сервер.

Посмотрите wireshark'ом какие опции передают в dhcpdiscover винда и линукс
З.Ы. Ну и проверьте не банит ли firewall 67,68 порты, на дебиане

Серые IP в источнике пакета, откуда?

Ну, зеркалируйте порт свича куда приходит инет и разбирайте логи сниффера. Либо что-то у вас в сети бегает, в инет влане, либо у дяди Леши.

Почему гостевая система недоступна по внешнему IP для самой себя?

А какая версия vbox? Накачу у себя, попробую проверить.

Серые IP в источнике пакета, откуда?

Какая схема подключения, ну и настройки nat/firewall?

Почему гостевая система недоступна по внешнему IP для самой себя?

Евгений, Сорри, читаю вывод iptables-save, а в голове iptables -nvL и смотрю в конец правил =)

А попробуйте заменить:

-A POSTROUTING -d 192.168.56.2/32 -p tcp -m tcp --dport 8081 -j MASQUERADE

на

-A POSTROUTING -d 192.168.56.2/32 -p tcp --dport 8081 -j SNAT --to-source 192.168.1.1

Почему гостевая система недоступна по внешнему IP для самой себя?

Евгений, Ну выглядит все вроде ничего и должно работать. А сниффер на машине с windows ловит эти пакеты?

З. Ы. У вас походу нет дефолтных правил DROP для INPUT и FORWARD.

Почему гостевая система недоступна по внешнему IP для самой себя?

Ну

iptables DEBUG: IN= OUT=vboxnet0 SRC=192.168.56.2 DST=192.168.56.2

как раз говорит что маскарад не прошел, а только port forwarding сработал, т. к. в src должен был проставиться адрес шлюза.
А покажите вывод iptables-save

При обращении с локалки на внешний IP - err_connection_refused - Что я сделал не так?

Вы проверяете доступ из интернета, или из локальной сети просто обращаясь на внешний ip?

Есть ли ошибки в маршрутизации?

Alias адреса на маршрутизаторах какие? Что указано шлюзом по умолчанию на серверах (в цод и у вас),нет ли статических маршрутов и натируются ли пакеты при передачи из одной сети в другую?

Zabbix3, не срабатывает скрипт уведомления?

Создавали в разделе Действия -> источник событий "Триггеры" новое действие?

Локальные машины за mikrotik'ом не видя друг друга?

Эмм...машины напрямую в микротик включены или еще свитч присутствует?

Почему после включения IP Forwarding пропадает интернет?

Покажите что выдает ip route

Настройки iptables для транзита на другой сервер?

Вы тут что-то совсем непонятное написали. Если вы хотите чтобы сайты были доступны по адресу 22.22.22.22, то зачем форвардите только порт 9090, да еще указываете порт источника 8172. Зачем вам какой-то адрес 192.168.1.150? Или у сервера с Debian просто нет адреса на интерфейсе eth1?

Как часть трафика пустить в обход VPN?

Маркируйте трафик в mangle и для маркированного отдельная таблица маршрутизации.