Maxim_Q

Выключите получение NTP адресов от вашего интернет порта, у меня это ether1
вырубить тут: IP => DHCP Client => DHCP Client => ether1 => DHCP => Use Peer NTP
Потом руками пропишите IP NTP какой вам нужен тут:
Sysytem => SNTP Client

Вам бы обновить прошивку до 6.46.8 (Long-term), а то у вас 6.34.3 очень старая и дырявая.

Причины глюков:
- Для начала проверь где именно отваливается Wi-Fi. Запусти одновременно пингование микротика и какогото сайта (например google) и посмотри где будут потери пакетов при проблемах. Если теряются пакеты только к сайту а сам микротик пингуется без проблем, тогда пинай провайдера. Если все отваливается и микротик не пингуется тогда копай дальше ↓
- прошивка кривая, всегда нужно использовать (Long-term) а не (Stable). И даже в (Long-term) не все версии стабильные 6.46.8 сейчас последняя стабильная.
- слабый сигнал Wi-Fi (далеко точка, много стен) для 5 ГГц это наиболее актуально он буквально 2 стены пробивает и всё, дальше не ловит, для 2 ГГц дело по лучше пробивает легко 3 стены (данные примерные).
- lease-time в DHCP = 10h10m это хорошее время выбрано, большое (хотя можно и до 23h59m поднять). Если бы было маленькое типа 5 минут тогда были бы глюки, у меня были глюки когда было маленькое время, но у тебя больше проблем нет.
- Мешают соседи помехами, запусти на телефоне сканер Wi-Fi и посмотри не мешают ли соседи.
Вот прога
- Поменяй параметры режима для Wi-Fi. Есть режимы B/G/N/AC, смотри в настройках. Поменяй на более старый и надежный B режим и все остальные выруби насильно. Я менял в многоквартирном доме и как только поменял сигнал стал стабильнее, но при этом увы скорость упала.

Возможно получится настроить доступ если ваш провайдер поддерживает UpnP. Спросите у него есть ли поддержка и пробрасывает ли он порты?

IP > Routes
Проверь чтобы были прописаны все пути. есть подозрение что нет путей. И фаервол еще может не пускать трафик. сбрось счетчик и пингуй машины, в момент пинга смотри неувеличивается ли счетчик на заблокированных правилах. Еще возможно потребуется настроить Masquerade (IP > Firewall > NAT)

IPsec на устройствах без аппаратного шифрования очень медленно работает, примерно 20 Мбит/с и нагрузка на проц 100%. Если брать модемы то обязательно с аппаратным шифрованием, ваши модели это подерживают. Вот полный список железа с аппаратным шифрованием: wiki.mikrotik.com

IP -> DHCP Server. посмотрите что стоит в Lease Time? поставьте значение по больше.

Если у тебя компы под windows зайди в настройки сетевой карты и насильно пропиши DNS. Поставь туда IP микротика, cкажи пользователям чтобы не использовали 8.8.8.8.

allow-remote-requests: no

На микротике не работает твой DNS, вообще. нужно сделать allow-remote-requests: yes
Потом в системе нужно прописать как DNS IP-адрес микротика.
Только тогда заработает и все будет нормально (при условии что ты верно настроил Firewall).

И еще в меню: IP -> DHCP Client - > для eth1 зайди в настройки и сними галочки: Use Peer DNS.
Это чтобы не использовать DNS от провайдера.

enc-algorithms=3des,aes-256-cbc

Алгоритмы шифрования плохие:
3des - уязвим и низкая скорость
aes-256-cbc - сильно грузит проц и низкая скорость передачи данных
aes-128-cbc - используй только его, с ним самая высокая скорость, другие режимы выключи.

настрой авторизацию по сертификатам, а не по паролю. Только сертификат защищает от атаки MITM

Просто так неполучится обновитьс если нет места и ты все удалил из Files.
Нужно прошивать через netinstall. Вот Инструкция или гугли другую если что-то не так.
---
Есть еще вариант обновить автоматически (System => Packages => Check For Updates => Download&install), но при этом свободного места на HDD + свободного места в RAM должно быть минимум 11 Мб. часть данных загрузится на диск, а часть в оперативную память. Важно! если что-то пойдет не так вы получите ошибку как у вас или кирпич, который потом нужно оживить прошивкой через netinstall.

какая вообще разница использовать pre-shared-key или сертификат?

pre-shared-key - это аутентификация по паролю. Она плоха тем что можно сбутфорсить пароль или сделать MITM атаку
сертификат - более продвинутая версия аутентификации когда проверяется вторая сторона. сбутфорсить или сделать MITM атаку практически нереально (читай невозможно если ты простой смертный, а не сотрудник АНБ). В сертификатах есть проверка по IP еще, очень полезная штука.

можно ли и если да, то как, использовать ключ, созданный в меню IP - IPSec - Keys, для VPN между Mikrotik и клиентом Windows;

Для IPsec сертификат должен иметь IPsec галочки в настройках генерации сертификата, сертификат желательно привязать к IP. Потом полученный сертификат (его открытый ключ) экспортировать в windows в центр корневых сертификатов. Я настроил IPsec с гибриной авторизацией только на микротиках, на windows переностить настройки никогда небыло нужды, но сертификаты от других служб экспортировать приходилось и их нужно сувать именно в корневые сертификаты.

в чем отличие ключа из IP - IPSec - Keys и сертификатов из System - Certificate;

IP - IPSec - Keys = нет привязки к IP и скорее всего этот сертификат только для авторизации на микротиках, для windows нужен другой из System - Certificate.

правильно ли я понимаю, что связь IPSec, установленная между компьютером и сервером VPN, при использовании pre-shared-key отличается от нее же, но с использованием сертификата/ключа, более легкой возможностью подбора?

грубо говоря да pre-shared-key это полное говно и его никогда нельзя использовать. только сертификаты с проверкой сервера и клиента. сертификаты сервера нужно экспортировать на клента, а клиентские сертификаты нужно экспортировать с клиента на сервер, чтобы они друг друга знали, иначе соединиться не получится.

-----
Обязательные нстройки:
для L2TP (PPP > L2TP_Server) Use IPsec: reguired - требовать IPsec и без него не поднимать L2TP
В профиле L2TP (PPP > Profiles) Use Encryption: required - требовать шифрование.
для IPsec
(IP > IPsec > Peer_Profiles) и (IP > IPsec > Peers) настроить так чтобы использовалось шифрование не ниже AES. DES, 3DES - явно уязвимы. blowfish - есть вероятность что уязвим.

(IP > IPsec > Policies)
Action : encryption
Level : required
IPsec Protocols : esp (не вздумай поставить ah, труба всему шифрованию, его тупо не будет. только esp)

IP > IPsec > Installed_SAs
тут после соединения проверь чтобы было шифрование три колонки (Auth. Algorithm; Encr. Algorithm; Encr. Key Size) алгоримм подписи пакета, алгоритм шифрования и размер ключа шифрования.

вот хорошая статься по IPsec: https://habr.com/ru/post/438176/