LetuchiZ

1. На том же НАГе есть готовые бронированные уличные оптические патчкорды, цена до 2000 за 200 метров, SfP модули по 500-700 рублей за штуку, гарантированно гигабит у вас будет.
2. Можно поставить беспроводной мост из двух mikrotik SXT Lite (по 4200 за штуку), если есть прямая видимость.

До 100 метров стандарт 5Е гарантирует, опять же при сертифицированном МЕДНОМ кабеле.

Развернуть на микроте The Dude

В мск сервер на colocation w2k12r2, в офисе (Забайкалье) CHR с ROS 7. Поднят туннель WireGuard, пров даёт 100мбит, по туннелю 500-600 мбит.

У меня сделано так: на vdsina.ru арендован самый минимальный vps, на нем развернут CHR. С домашней сети (даже не нужен статический ip) туннель. В домашней сети развернут hmail-server+roundcube. vdsina позволяет самому указать PTR (из админки). 25 порт открывается по письму в тех поддержку. hmail вполне себе поддерживает dkim. SPF и прочее прописано в DNS. обслуживается несколько почтовых доменов, все крутится уже несколько лет. Почта в спамы не попадает, веб-интерфейс и Outlook работают.

Была похожая проблема при развертывании CHR на Hyper-V, решилась включением спуфинга mac-адресов в настройках сетевого адаптера виртуалки. Возможно стоит копать в этом направлении, с PVE дел не имел.

Как вариант использовать Direct Access - решение от M$ из коробки.
Есть минус - нужен отдельный сервер, клиентская ОС не ниже enterprise, хотя W10 enterprise можно сейчас оформить в виде подписки. Работает стабильно. На Хабре есть описание https://habr.com/ru/post/325458/

Может что то из UTM решений? Из бесплатного для небольшой сети российский ideco (до 20 пользователей), либо sophos UTM (вроде до 50).