CityCat4

Рекомендую начать со схемы сети на уровне физики - что куда включено, что с чем соединено, где какие подсети.

В DHCP приоритетов нет - в одной локальной сети может быть только один DHCP сервер. Если это не так, то "кто первый встал, того и тапки". Что за устройство возможно удастся определить по маку - это возможно не всегда (потому что мак может оказаться от какой-нибудь жень-сунь-в-чай).

Блокировать можно на микротике все что угодно. НО - микротик должен быть роутером, то есть трафик должен проходить через него. На свитчах микротика не заблокируешь ничего.

Встроенные DHCP обычно имеют WiFi роутеры

ssh на микротике - это всего лишь ssh на микротике - та же командная оболочка, что и winbox, только не графическая. У нее те же возможности, что и у других оболочек. Ну либо Вы как-то не так задаете вопрос.

Можно ли "быстро изучить и подготовиться " на пилота боевого вертолета? Вот ответ будет примерно такой же. И для конкретно взятой конторы последствия неумного администрирования будут сравнимы с залпом из оного вертолета по уровню разрушений.
Системное администрирование - это набор практик. Но поскольку спектр оборудования огромен, изучать нужно только то, что необходимо Вам - самостоятельно.

Можно маркировать в прероутинге "хорошие" соединения, а в фильтре пропускать с маркой, можно просто в фильтре пропускать с IP провайдера, все остальное по этим портам валить

Если это вообще роутер от микротика (а не свитч, например), то банальной блокировкой всех или только некоторых пакетов от тех компов, которые нужно блокировать.

С того же, с чего и линух - приобретаешь микротик (ну или если совсем бюджетно - ищещь на торрентах образ RouterOS) и ставишь задачу. Изучаешь в процессе решения задачи нужные разделы, ненужные пропускаешь. Документации на самом деле немного - все дается практикой и только практикой...

IKEv1 с микротиком не заработает в принципе. Нужно использовать IKEv2, если прошивка соответствующая. Если же прошивка, в которой еще нет IKEv2 - обновиться и попробовать. Кроме того, хэш sha256 в микротике как-то через спину сделан - он работает только на соединении микротика с микротиком, при попытке связать микротик со strongswan - не получается нифига.

С проблемой зависания IPSec в микротике сталкивался. Это именно RB2011-UiAS :) При вводе любой команды, относящейся к IPSec, микротик просто тупит пока не отменишь команду. Не знаю, чем это вызвано, лечится перезагрузкой микротика.

Вариант 1 - VPN до сети и почта только после VPN
Вариант 2 - сертификаты (в смысле проверка личного сертификата)

Вариант 1 проще технически - VPN ставится и настраивается один раз. Правда, если делать нормальный VPN, это должен быть не PPTP, может потребоваться установка клиента
Вариант 2 технически сложнее, но ему пофиг на IP от слова совсем - проверка "свой-чужой" идет по наличию на устройстве сертфиката, выданного корпоративным СA. Правда, проблема в том, что далеко не все почтовые клиенты имеют возможность работы с S/MIME вообще и далеко не все работают с личными сертификатами. Ну и публикация CRL, выдача новым сотрудникам, отзыв уволенных - возни будет много. Зато пофиг - статический IP, динамический IP, главное чтобы порт 500/4500 был не заблокирован (не все клиенты поддерижвают произвольный порт)

На каждом порту свои настройки? Тогда бондинг, который посоветовали, не канает. И получается частный случай вопроса про двух провайдеров. Нет, в таком случае "сложить" каналы и получить 200Мб на скачку одного толстого файла нельзя. Точнее говоря, нельзя, если это не торрент (который умеет тянуть кусками с разных мест). Ускорение работы в таком случае обычно добиваются разнесением сервисов по провайдерам - с этого качается тырнет, с этого почта и IP-телефония...

Независимо от того, используются провайдерские DNS или нет, если mysite.com в списках РКН - провайдер будет его банить. Например, путем перехвата DNS-запросов по порту 53. Если в них содержится запрос на резолв mysite.com, такие пакеты могут тупо дропаться. Нет резолва - нет коннекта.

Наверное потому что маршрутизация не настроена :) Микротик сам ничего не делает :)

Микротик ничего не знает о пользователях.
Микротик не интегрируется в AD или еще какую среду (IPA например).
Микротик не знает, что такое NETBIOS.

Микротик знает только IP. Сам не пробовал, но если можно будет снимать статистику в формате ipcad - можно будет считать по IP, портам, etc. Без нормального прокси полноценной статистики не получить.

Доооолгое время у меня все было на одном хосте - и FreeBSD (которая работала роутером), и сервак, и тестовые машинки. Эта схема хороша, когда ты постоянно дома и способен в пару кликов поднять упавший FreeBSD, который постоянно после пропадания питания пишет про software inconsistency. Когда тебя дома нет - приходится привлекать неквалифицированного ребенка :D
Поэтому я для себя решил так - микротик (аппаратный, коробочка), и только микротик. Сервак у меня из разряда "сам-себе-сервер", iLO в нем нет, если бы был - выставлять его в тырнет я бы не стал. Микротик прекрасно держит и тырнет и IPSec VPN до работы, пропало питание - нет связи. Появилось питание - микротик включился, я зашел на консоль FreeBSD, отвесил ей профилактического пенделя...
Аппаратный микротик в Вашем случае дает гарантию того, что можно будет попасть на iLO, а с него уже и сервак рестартануть, если надо. DSM...ну там конечно линух, там и mc можно замутить, и пакеты ставятся...но я бы отделился микротиком, а DSM оставил внутри сети. Если нужно прям попадать на DSM - там есть DS Cloud Client, позволяющий файлообмен - будет типа маленького дропбокса :)

Определенному пользователю или определенному IP адресу? Микротик работает на том уровне, где нет логинов пользователей - для этого нужно прокси ставить.

В разделе маршрутизации. Микротик должен знать, что пакет, пришедший с 1.2.3.4 для 4.3.2.1 нужно направить в интерфейс [ifname0], пройдя по которому он достигнет либо 4.3.2.1 непосредственно, либо того, кто знает, куда этот пакет направить дальше. Ну и соответственно 4.3.2.1 должен знать, что если ему пришел пакет от 1.2.3.4, его не дискардить, а отправить тому, кто знает куда этот пакет девать. Тут настройки скорее всего придется делать на обеих микротиках.

Сколько с микротиком не работал - пищал он у меня только при перезагрузке. Сначала длинное "бииип" - началась загрузка, потом через некоторое время "бип, бип" - загрузился и готов. Не знаю, может в разных моделях по-разному, но RB450G почти год на столе стоял...