АртемЪ

Изначально был туннель L2TP, потом насколько я понял провайдер A начал блокировать порты.

Очень сомнительно. Такое бывает крайне редко, у каких-то мелких местечковых провайдеров.
Разве что почтовые порты иногда блокируют.

И теперь PPTP тоже не работает, причём звонил провайдеру тот говорит, что проблемы у меня у них всё работает без изменений.

PPTP на GRE основан, а GRE пакеты у многих не проходят. Это совсем не значит что их блокируют.

И теперь PPTP тоже не работает, причём звонил провайдеру тот говорит, что проблемы у меня у них всё работает без изменений.

В 80% таких обращений так оно и есть. А разбираться провайдеру лень, особенно если вы не юрик. Если юрик - можно пообщаться со спецами, чтобы помогли разобраться в проблемах.

Может кто знает Альтернативные варианты для связи Офис-Магазин.

Из удобных и беспроблемных я бы ikev2 рекомендовал.
Ну или на крайний случай openvpn

На обоих микротиках прописать маршруты.
Указываем сеть 192.168.88.0/24 и в качестве шлюза адрес противоположного микротика 10.7.0.2 за которым и находится эта сеть.
По два маршрута на обоих микротиках.

Правильный способ - настроить DNS, чтобы он резольвил доменное имя в локальный адрес.
Костыль - hairpin nat.

Не совсем понял в чем проблема в данный момент? Настроить не можете маршрутизацию? Отдать маршруты удаленным клиентам? Или Proxy ARP сделать? . Подробнее надо о схеме сети и сути проблем.
Если проблема чисто в том что трафик клиента весь идет в тоннель - надо убирать галку шлюза по умолчанию и маршрут ставить. Как вы это будете делать - вручную или скриптом, это другой вопрос.

И еще если нужна передача маршрутов удаленным клиентам удобнее использовать IKEv2 тоннель, а не l2tp/Ipsec, там с передачей маршрутов все на уровне, и работает стабильнее на плохих каналах.

Ну и еще -

192.168.1.0/24

Если намерены использовать тоннели, никогда не используйте эту сеть! Ну она же по дефолту у всех клиентов, и это создает проблемы. Выбирайте что-нибудь менее популярное, а не то, что вбивают на всех SOHO роутерах по дефолту.

Пока настроил временный костыль на машинах пользователей в файле hosts (тупо, согласен)
192.168.1.122 bitrix24.sitename.com

Это не костыль, а грамотное решение.

Если нужен костыль - добавьте правил маскарадинга в микротик. Гуглите по "Hairpin NAT", примеров много.
Но повторю это костыль, а правильное решение - DNS. При обращении из локальной сети должен выдаваться локальный адрес сервера.

Вы делаете запрос из локальной сети по внешнему адресу, ваш запрос микротик честно перенаправляет на ваш сервер в локальной сети, сервер отвечает. Поскольку в качестве отправителя запроса указан локальный адрес - сервер вам напрямую на ваш адрес и отвечает. А ваш компьютер этот ответ дропает, поскольку он у сервера ничего не запрашивал, и не ждет от него ответа. И продолжает ждать ответа от роутера.

Поэтому и решений тут два - правильное настройка DNS, чтобы запросы к локальным ресурсам шли через локальную сеть, а не через роутер.
Костыльное решение - подменить адрес отправителя на адрес роутера, и для ответа подменить адрес сервера на адрес роутера. Два правила маскарадинга в микротик.

Микротик не выдаёт максимальную скорость?

Что такое нормальная скорость по вашему?

но когда просто смотришь ютуб и серфишь страницы скорость скачет 100-700к на любых лан портах,

А какая должна быть?

Непонятно чего вы хотите.
Вы же написали - тариф провайдера 15Мбит/с.
Это значит что максимально возможная скорость передачи данных в глобальную сеть 15Мбит/с
В реальности скорость должна быть между 0 и 15Мбит/с - это нормально.
Если скорость меньше нуля или больше 15Мбит/с это ненормально.

Как обеспечить доступ к нескольким серверам по RDP используя имена серверов?

Сделать соответствующие записи в DNS.

Обеспечить пользователям удаленный доступ к нужному серверу только по имени сервера без разглашения пользователям IP адресов.

Обеспечьте доступ и не разглашайте IP

Если никому не будете мешать - никто не будет возмущаться, то все будет работать без проблем.
Если будете мешать - найдут, конфискуют вашу аппаратуру, и выпишут символический штраф.

По поводу получения разрешения - долго и муторно.

Подскажите куда копать?

наверное в сторону пинг - 30-35мс. и его уменьшения

Смотря какие атаки.
Существует два типа атак - атаки на приложение, и атаки на канал.

• Если идет атака на приложение- все можно решить самостоятельно настройкой софта или апгрейдом железа
  
• Если идет атака на канал - тут уже ничем сам не поможешь. Только внешняя защита.
  

Единственное решение при атаке на канал покупать внешнюю защиту, чтобы ваш адрес нигде не фигурировал и злоумышленники его не знали.
Организации которые предоставляют внешнюю защиту имеют очень широкие каналы, и для них плюс минус 10 Гигабит погоды не сделает.
В этом случае весь трафик атаки идет на IP адрес защиты, а оттуда уже отфильтрованный к вам.

И тут совсем нет разницы домашний у вас сервер, или он в датацентре стоит.

Что такое CAPsMAN с точки зрения клиента?

Система управления точками доступа.

Чем он отличается от двух-трёх точек доступа с одинаковым SSID?

Тем же чем отличается пастух от стада баранов.
Управляет он ими.

Теперь стал вопрос, на какой Mikrotik стоит заменить свой роутер?

Да без разницы.
Если эфир забит - роутер то чем поможет?

По рекомендациям - уйти на 5ГГц я не могу, потому что роутер не поддерживает.

Так поменяйте то что не поддерживает.

Почему же нет? Есть.
Используйте маршрутизацию вместо NAT и все.

Если вам не нужен доступ к интернету это делается без проблем.
Если нужен доступ к сети интернет - все адреса должны быть белыми (маршрутизироваться в сети интернет)

NAT используют только когда нужно организовать доступ в интерент сети с частными (серыми) адресами, поскольку эти адреса не маршрутизируются в глобальную сеть.

Имеется белый IP адрес, но из интернета он не пингуется

Ну тут могут быть варианты - адрес не белый.
ICMP заблокирован
Хост банально выключен.

В общем для начала - вы уверены что адрес белый? Какие первые цифры вашего белого IP адреса, который прописан на роутере?
Учитывая что речь идет про LTE - с вероятностью 90% у вас серый адрес.

Как сделать, чтобы VLANы видели друг друга?

Никак. Это невозможно. У них глаз нет, поэтому они не могут видеть.

Если вы хотите чтобы между ними трафик ходил - настраивайте маршрутизацию. Обмен трафиком между разными сетями настраивается именно на маршрутизаторе.