Gansterito

Скорее всего по DHCP получаете адрес от кого-то из "соседей" по сети и через него работаете. А когда пытаетесь поднять PPTP/PPOE/L2TP/или_что_там_у_Вас - BRAS оператора Вас не авторизует.

Лучше первым правилом пропускать пакеты ESTABLISHED и RELATED, а потом уже дропать INVALID.

Такое разделение чревато. Если разделять по портам удаленного сервера, то запрос на 80ый порт может придти с одного IP (через первый канал), а на 443 - с другого (второй канал). Если брать локальные порты - аналогично, с одного локального ПК может быть установлено две TCP-сессии с одним и тем же сервером, но с разных адресов. Что-то может пойти не так, особенно, если cookie на сайте привязываются к IP-адресам.
Альтернативные варианты - разделить "весь интернет" (0.0.0.0/0) на две почти равные части - 0.0.0.0/1 и 128.0.0.0/1, и смаршрутизировать их через разных провайдеров.

Можно предложить три варианта:
1) Сам роутер Zyxel актуализирует список занятых устройств (включенных, например, мимо DHCP);
2) Кто-то за пределами роутера пытается "достучаться" до ваших внутренних адресов;
3) Кто-то изнутри роутера (а там внутри Linux со всем окружением + shell) пытается найти что-либо для своего дальнейшего "проникновения" и "закрепления" на вашей сети.

За последние пару дней слышал о какой-то аномальной активности абонентов с роутерами Zyxel, однако, подтверждения этому не было. На всякий случай отключите роутер от внешней сети, посмотрите на активность. Можно сбросить к заводским настройкам, обновить прошивку до последней и, не подключая к сети, проверить наличие who has запросов. Но это уже на любителя.

А uart-usb нормально работает? Может быть драйвер встал криво?
Можно посмотреть PortMon от Sysinternals - какой процесс занимает порт.
Можно попробовать подключиться к COM9 чем-то типа гипертерминала (такая программа все еще существует?) или Putty чтобы проверить доступность порта.

Подключите выделенный ноутбук проводом в локальную сеть и запустите wireshark на нем на сколько-нибудь длительный период. Возможно, в сети есть широковещательный флуд, в wireshark вы его сможете увидеть.

При 50ти внутренних клиентах целесообразно сегментировать сеть, как проводную (по этажам, офисам, отделам, etc), так и wifi (гостевой, для личных устройств, для служебного использования).

ТП какого уровня?
1ый уровень - там достаточно стрессоустойчивости и терпения.
2ой - базовые знания сетей,
выше - глубокие знания сетей, оборудование разных вендоров и т.д.

У Вас сети 10.10.1.0/16 и 10.10.5.0/24 пересекаются. Точнее, вторая входит в состав первой. Это чревато....
Можно обойтись одним портом на Mikrotik в сторону локальной сети. В этом случае на интерфейсе будут висеть две подсети, а все устройства в локальной сети не будут изолированы на L2-уровне (все будут находится в одном сегменте Ethernet). Но это не красиво (фу-фу-фу).
Лучше, конечно, поставить управляемые коммутаторы, разделить сегменты по разным VLAN, сделать DMZ (если в нем есть необходимость), настроить Loopback detection, DHCP spoofing, политики безопасности, политики QOS и т.д., и т.п.