CityCat4

RouterOS концептуально не изменился ни с 2016, ни даже с 2014 года. Проблема видимо не в том, что "литература не подходит", а в том, что Вы пытаетесь повторить на уровне "жмякни там, тыкни здесь". Так работать не будет.

Только на нешифрованном трафике через L7-фильтр, но как я уже отметил - L7-фильтр очень сильно грузит микротик.
Шифрованный трафик не проконтролировать никак - только прокси с бампингом.

Если "точкам" не нужен доступ к сетям друг друга, то тут естественная схема "звезда", когда все тики точек цепляются к одному центральному тику. В центре разумеется должен стоять большой толстый тик с аппаратным шифрованием, а по точкам - по потребностям, если там трафик небольшой, потянут и тики с программным шифрованием. Шифровать разумеется надо - сейчас слишком много охотников до чужого добра :) И даже до бобра :)

Прочитать документацию по швану - там все расписано до маразматических подробностей.

Теоретически должно быть пофиг на обжим. Но практически умные свитчи да и микротик должны попытаться обнаружить MDI/MDIX - и вполне могут на этом затупить. Ну или банальный недожим, или например там многожилка и несоответствующий коннектор или тупо провод внутри кабеля обломился...
Надо во-первых пережимать на стандартную схему, а во-вторых все провода тестить.

Имеет ли идея право на жизнь с технической и юридической стороны (никаких лицензий и юр лица нет)?

Если Вы юридически подкованы, свободно изьясняетесь на "канцелярите судебном", имеете нахрапистый и склочный характер и любите ходить по судам - это самое оно :) Потому что Вы "одним махом шестерых побивахом", то есть одним этим действом нарушаете столько законов, что тут можно ставки делать - кто вперед прибежит. Налоговая за незаконное предпринимательство, ФСБ за провайдерство без лицензии (а причем тут ФСБ - а при СОРМ, который Вы обязаны поставить), или Роскомнадзор за незаконное использование частоты.

маршрутизатор вполне нормальный. Насчет шифрования не понял - чего и куда шифровать? Откуда взялся pfSense - ведь изначально просто сеть делали? Или нужно еще прокси?

У решения "полноценная тачка роутером" есть как преимущества так и недостатки

Преимущества:
- расширяемость
- дохрена функционала навешивается в одно касание
- большой диск для логов/статистики не проблема
- ремонтопригодность (заменил узел и снова работает)

Недостатки:
- обязательно нужен монитор и клава
- требуется человек достаточной квалификации, чтобы поднять его в случае падения, причем требуется он локально, так как связи не будет.

Поэтому я обычно ставлю роутером микротик, а уже за ним прокси и все что нужно - микротик уронить довольно сложно.

MikroTik RB2011UiA S-2HnD-IN

Экономичный вариант, либо если бесплатно где-то отламывается. Серия устарела, посмотрите RB4011. Кстати, за оптику. Если там реально оптика - провайдер вполне может поставить свою железку и рулить ею не даст.

Насчет провода пофиг, но если будете сами обжимать - заведите тестер и нормальную обжимку.

Что касается полки. Если в качестве исключительно файлопомойки, сгодится любой самый дешевый Synology/QNAP. Если хотите еще что-то на нее навесить - учтите, что железо там ... у меня наверное телефон мощнее :) Платят там в основном за фирменную морду, которая более-менее решает задачу "линух для тех кто его не знает и не хочет знать".

Данная модель работает на проце Qualicomm Atheros QCA9557. Посмотрите в таблице его характеристики, а потом сами подумайте - сможет ли такой проц запустить ffmpeg :)
Микротик - это роутер. Данная модель - домашний роутер, то есть самый скромный по параметрам. Ему дай Бог поток бы записать, и то мне в голову не приходит, чем.

Необходимо, используя возможности Router OS, реализовать получение 2-х ip-адресов на одном физическом порту

"... Ответ Надсистемы мгновенно разрушил радужные надежды: "Задача не имеет решения"..." (С) Л. Резник "Магический треугольник"

То, что называется IPTV - это во-первых IGMP-прокси на микротике, а во-вторых, пропускающие его правила. Как протащить IGMP через второй роутер, если он не микротик - тут я не знаю.
Через микротик все делается не слишком сложно (правда и не просто).
Сначала понадобится пакет multicast для микротика - идти на сайт, скачивать, в стандартной поставке микротика этого пакета нет, а он нужен.
Правила (интерфейсы понятное дело свои! ether6 у меня - порт провайдера):

add action=accept chain=input comment="Allow IGMP (for IPTV)" in-interface=ether6 protocol=igmp
add action=accept chain=output comment="Allow IGMP (for IPTV)" out-interface=ether6 protocol=igmp
add action=accept chain=forward comment="Allow this port for IPTV" dst-port=1234 in-interface=ether6 protocol=udp

Запустить IGMP-прокси

/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ether6 upstream=yes

Если баните RFC1918-сети снаружи, не надо банить сеть 224.0.0.0/4 и сеть 169.254.0.0/16

Хорошую доку по iptables подказать? В микротике все по стандарту, есть немного доработок для пущего удобства, а так все по стандарту...

Я начинал с этого

Методом тыка - то есть ткни там, напиши здесь, next-next-next и пр. - не получится. Нужно понимание того, что делаешь.

У 4G-модема и не может быть Ethernet-портов, потому что если бы они у него были - это был бы роутер :) "Если бы у бабушки был х.. - она была бы дедушкой" :)

Написать правило, пускающее "тех пятерых" в тырнет
Написать правило, пускающее в тырнет всех остальных.
Если по умолчанию - разрешить, то до правила "для всех" написать правило, блокирующее тырнет "для всех" и его включать-выключать скриптом.
Если по умолчанию - запретить, то скриптом включать-выключать разрешающее правило "для всех".

Это может быть например "сравнительно честный" способ продать Вам ненужный роутер :) Пинг на их управляемый свитч (или куда там он попадает) запускает некий триггер, который что-то где-то прописывает - например мак роутера в arp-таблицу - и все работает. До перезагрузки.

Привязка по маку, не?

Только с помощью микротика это нереализуемо, разве только это будет топовая модель.

Почему.

Микротик - роутер. Следовательно он оптимизирован для задач маршрутизации. Прокси в нем "для галочки", им пользоваться без толку, а https вообще его просто обнуляет. Да, можно https-запросы потрошить на предмет SNI, но во-первых там ничего может не быть, а во-вторых L7-фильтр, который такое будет реализовывать - он ресурсы жрет огогого как!
Можно втупую банить IP - почувствствуй себя Роскомнадзором :)
Можно поставить прокси перед микротиком - и тогда уже спокойно всех валить на прокси. Если статистика не нужна, то не нужен и бампинг, можно без подмены сертификатов будет обойтись

Телепаты в отпуске.

Каких билетов? Железнодорожных? :) Кто такой Узерман и почему его надо создавать?

Верный способ сделать так, что вопрос проигнорят все, кто можно - это задавать его таким образом.

IPSеc транспортный или туннельный?

очень дешево, очень просто, и при этом довольно стабильно

Именно что "довольно". "семисотый" роутер TP-Link зависал стабильно раз в три-четыре дня всего на 5 - 6 телефонах по WiFi, причем без видео и активного тырнета - просто обновления софта, whatsapp... микротик RB2011 - полгода - ни одного зависания.
Точка доступа от TP-Link - один-два клиента (телефон и планшетка) - раз в три-четыре месяца зависает, хотя нагрузка минимальная.
Да, очень дешево. Да, довольно просто. Но я лучше поставлю асус или зухель, если на микротик нет денег или желания копаться в винбоксе.