Mystray

Керио вам и не обязан отвечать ttl exceeded на каждый транзитный пакет.
Какой в этом смысл?
Роутер один раз в секунду/две/пять ответит, что есть проблема, и этого достаточно для ее понимания.
Практически все сетевое оборудование имеет ограничения на количество генерируемых ICMP-отчетов об ошибках.

А вы с какой целью интересуетесь?
>принцип работы Интернет-провайдера
Купить дешевле, продать дороже.
>магистральным провайдерам
Куда дотянется, туда и подключается. Вплоть до Tier-1 провайдеров, которые уже никуда не подключаются.
>Какие магистральные провайдеры есть в Украине?
Разные. Смотря какие потребности.
>процесс подключения к ним
Договорился, построил физику, согласовал логику, протестировал, заплатил (или в другом порядке, все зависит от того, с кем и как договорился).
>оборудование
Разное. Зависит от потребностей. Некоторые вообще обходятся рабочими местами менеджеров и прочих продавателей, и только перепродают услуги нескольких выше- и нижестоящих операторов.
>подробный перечень.
Разработка проекта под ваши требования стоит или больших денег или своего грамотного специалиста.
>процесс подключения новых клиентов
Зависит от. Где-то надо оптику протянуть, питание завести, установить ящик, терминирующее оборудование, протянуть медь до клиента, сконфигурировать провайдерское оборудование и учетную запись нового клиента в биллинге, настроить и выдать клиентское оконечное оборудование. Где-то - завести перекроссировку на нужное железо, где-то воткнуть в нужный порт нужный провод, где-то просто описать и оплитить услуги нужным людям/организацям. Не существует универсального решения.
>Проведение интернета клиентам базируется на
на чем угодно. Оптика (Как голый Ethernet так и всякие PON), медь (как Ethernet так и DSL всех видов), Радио (и вай-фай, и его братья, и *G/LTE). Везде все по-разному.

> сеть без vlan
impossibru.
Альтернатива голому L2 есть. vpls - дорого, vxlan - еще дороже. TRILL/SPB/Fabric - датацентровая магия, которая еще настолько молода, что сами прейсейл-инжинеры не видели имплементаций в живых решениях.
А на PE все равно будут использоваться влан-теги для разделения/идентификации сервисов.
> stp
Он работает, глюков мало (хотя даже в софте вендоров первого эшелона бывают серьезные косяки), свою работу он выполняет.
Но включать его действительно следует только там, где без него не обойтись (где позарез нужен автоматизированный резерв л2-канала), потому что практически кроме плюсов у него есть куча минусов и готовить его надо крайне аккуратно, чтоб еще до того, когда алгоритм отработает, админ знал, что где залочится, где разлочится при падении, и где очистятся мак-таблицы..

https://accel-ppp.org/wiki/doku.php?id=ru:ipoe
Или другие БРАСы

При выделении префикса CE-роутеру PE-роутер сразу же прописывает маршрут на выделенный префикс через этот CE-роутер.
CE-роутер у себя прописывает дефолт в сторону PE, и навешивает полученные префиксы на ЛАН-интерфейсы.
Конечные хосты вообще имеют только дефолт в сторону своего роутера.
В каком месте вы видите проблему?

Забудьте о битах в мак-адресе, единственное, что там быть не должно - младший бит старшего разряда (признак мультикаста). Все остальное меняется по желанию левой пятки.
Практически все управляемые коммутаторы имеют некий аналог функционалу Port Security - к порту привязывается мак-адрес статически, и фреймы с другими мак-адресами отбрасываются (или даже порт тушится административно), На более продвинутых можно настраивать и пары MAC-IP.
Даже самые дешевые управляшки вроде D-Link DES-12** умеют что-то подобное в том или ином виде. Чтоб сменить разрешенный мак на порту, в таком случае, надо зайти на панель управления коммутатора, с паролем.
Более серьезная защита - 802.1x. Но далеко не всегда его поддерживают железки и софт. Да и админы тоже.

Соберите два порта в бридж на Дебиане, и IP-адрес вешайте на бридж, в виндах по адресу из той же подсети. Самый простой вариант.

Но учтите, что это не аппаратный коммутатор, и при прогоне трафика от одной винды до другой получите некоторую нагрузку на цпу.

Есть на многих управляемых коммутаторах функция диагностики линка. Работает по-разному в разных условиях, сильно зависит от производителя и модели устройства, но в целом может помогать при выявлении проблемы.

Например:

DES-1210-10:5# cable diagnostic port 9
Command: cable diagnostic port 9


 Perform Cable Diagnostics ...

 Port  Type   Link Status  Test Result   Fault Distance (meters)  Length(M)
 ----  -----  -----------  ------------  -----------------------  ---------
 9     GE     Link Down    Pair1:OPEN    Pair1:10                 N/A
                           Pair2:OPEN    Pair2:10
                           Pair3:OPEN    Pair3:10
                           Pair4:OPEN    Pair4:10

admin@SW03_TEST> request diagnostics tdr start interface ge-0/0/1

Interface TDR detail:
Test status                     : Test successfully executed  ge-0/0/1

{master:0}
admin@SW03_TEST> show diagnostics tdr interface ge-0/0/1

Interface TDR detail:
Interface name                  : ge-0/0/1
Test status                     : Passed
Link status                     : Down
MDI pair                        : 1-2
  Cable status                  : Normal
  Distance fault                : 0 Meters
  Polartiy swap                 : N/A
  Skew time                     : N/A
MDI pair                        : 3-6
  Cable status                  : Normal
  Distance fault                : 0 Meters
  Polartiy swap                 : N/A
  Skew time                     : N/A
MDI pair                        : 4-5
  Cable status                  : Impedance Mismatch
  Distance fault                : 19 Meters
  Polartiy swap                 : N/A
  Skew time                     : N/A
MDI pair                        : 7-8
  Cable status                  : Impedance Mismatch
  Distance fault                : 20 Meters
  Polartiy swap                 : N/A
  Skew time                     : N/A
Channel pair                    : 1
  Pair swap                     : N/A
Channel pair                    : 2
  Pair swap                     : N/A
Downshift                       : N/A

{master:0}

Опять же, скорее всего дело в ttl (возможно, еще и window size учитывается) и/или отличающихся настройках для вайфай-клиентов. Может у вас гостевая сеть включена какая-нибудь.
Connectify, видимо, более тщательно обрабатывает проходящий трафик, чем дефолтная прошивка роутера.
Я бы советовал смотреть анализатором на исходящие пакеты по проводу и по вайфай, искать, чем отличаются. Смотреть настройки файфая на роутере. Возможно, ставить какую-нибудь openwrt и ручками (iptables) рисовать nat с корректировкой всех значимых полей вроде ttl или window size

edit спустя 2 года:
open the /etc/sysctl.conf file and add the following line:
net.ipv4.conf.all.promote_secondaries = 1
Как минимум при работе через ip addr del x.x.x.x/y - секондари не удаляются.

По поводу торрентов: чаще всего этим занимаются специализированные копирастические конторы вроде Irdeto и IP-Echelon, которые сами, прикидываясь пирами известных раздач, ищут сидов. А поскольку IP-адрес им известен, то они уже отсылают abuse провайдеру с известной им инфой вроде:
Notice ID: 310-123456789
Asset: Fallout 4
Protocol: BitTorrent
IP Address: w.x.y.z
File Name: fallout 4 2015 pc steamrip by noodle
File Size: 27062100367
Timestamp: 02 Jan 2016 18:48:33 GMT
Last Seen Date: 02 Jan 2016 18:48:33 GMT
Username (if available):
Port ID: 14835

Если не настроите правильно - позвонят и попросят убрать с порта включения лишнее, или просто ничего не произойдет.
Хороший коммутатор может помочь, только если у вас своя AS, блок адресов, и вы будете принимать/отдавать маршрутизацию по BGP.
Во всех остальных случаях вам нужен роутер, при чем с поддержкой Wan Load Balancing посредством NAT, но увеличить можно только суммарную пропускную способность нескольких соединений (на торрентах, скорее всего, будет работать, а на однопоточном скачивании файла - нет, упретесь в ограничение одного из провайдеров).

Смотрите в договоре - есть ли у вас по документам реальный адрес. Если нет - покупайте. Если есть - требуйте соблюдения. Главное четко понимать, что есть "статический/динамический" и "реальный/серый", а то иногда впаривают одно под видом другого.
Серых сетей всего 4, костыль из скрипта несложно подставить, но если у провайдера серьезные планы на НАТ, то только административным путем добьетесь результата.