Ragnar Black

Использовать позволило "запретить все, что не разрешено". Например разрешить только трафик 53/tcp,udp 80,443/tcp, а остальное , не соответствующее этим правилам пойдет в блок
Также поставить ограничение на количество пакетов в секунду от каждого клиента. Получается, если пойдет массированная атака, а не обычное использование, то "злоумышленник" сломает ноги от ваш firewall

Рекомендую взять роутер mikrotik rb5009 или rb4011, у обоих моделей присутствует sfp+.
1.1) заказать на ali модуль и подключить провайдера напрямую.
1.2) Либо превратить роутер rt в bridge и к нему новый роутер, тогда наличие sfp уже не так критично, но производительность у обоих моделей на высоте.

Костыльный вариант это раскурочить роутер РТ и на ключевые элементы поставить по радиатору для ssd nvme через термопрокладку

Поставить обратный прокси-сервер в дц финляндии. Клиент шлёт запрос на подключение к серверу по ip vds пограничного сервера, а тот перенаправляет на ваш сервер в СПб.
Вам может потребоваться nginx с модулем stream, но он не поставляется по умолчанию, поэтому вам придётся собрать его из исходников.
Появятся дополнительные вопросы, задавайте в комментарии.

Не выбирайте сети класса А и С, возьмите В, так как они не так сильно распространены, а количества адресов будет достаточно для предприятия. Для сети 172.16.0.0/12 будет доступно (по данным калькулятора) 1 048 576 адресов - вам должно хватить.). Но, естественно, не забываем про широковещательный трафик, так что сетки будут желательно с 24 битной маской

IP адреса задаются от ваших задач. Например если вам не нужно, чтобы пользователи в своих вланах видели коммутаторы, то в этих вланах Вы не задаёте адресацию, устанавливаете адреса только на интерфейсе маршрутизатора (тот самый default gateway для клиентов). Для управления же создаётся отдельный влан, в котором вы и будете назначать адреса, можете вручную, а можете и с помощью dhcp

Это примерно всё. Если остались вопросы - пишите сюда в комментарии

помещаете провайдеров по отдельным vlan, одна локальная сеть - влан первого провайдера, вторую локальную сеть во второй vlan со вторым провайдером, а дальше как обычно - ip адреса, gateway и прочее.

Для обучения микротик рекомендую eve-ng. Создается эмуляция почти настоящей железки с полным функционалом на сколько позволит хостовая система. На такие машины будут установлены CHR (cloud hosted router), единственное ограничение, это скорость порта 1Mbit/s на free. если не планируете гонять огромный трафик внутри системы, то хватит.

Конечно в идеале лучше будет купить пару hap или hap lite и тренироваться на них.

Если эта железка шлюз по умолчанию, то ничего делать дополнительно не надо. главное, чтобы в форварде не было запретов на обмен между сетями

CRS125 - cloud router switch - ключевое слово switch.
под такое количество точек вам бы взять rb4011, rb5009, или что-нибудь на TILE (CCR). Ещё как вариант трафик пустить через CHR на одном из компов с двумя сетевыми портами, если не желаете разоряться на новую железку.

Как разделить адресное пространство с l3-коммутаторами? Также как в привычной схеме с маршрутизаторами.
L3-коммутаторы применяются, чтобы разгрузить и без того загруженные процессоры маршрутизаторов, выполняющих функции файерволинга, натирования, какого-нибудь контроллера, конечно маршрутизатора и много чего ещё. И что делать, если 16-ядерного маршрутизатора не хватает? Купить ещё дороже с ещё бОльшим количеством ядер. Но как известно деньги не берутся из воздуха, а покупать новую железку, когда лежит ещё свежая, но "менее производительная" нерационально.
Именно поэтому есть l3 коммутаторы которые снимают с маршрутизатора нагрузку в межвлановой маршрутизации.
На коммутаторах фирмы MikroTík с версии RouterOS 7 на некоторых коммутаторах появилась аппаратная маршрутизация, т.е. на свитч-чипе.

Подытог.
Планируйте свою сеть также как и с маршрутизатором, но на коммутаторах.
Возможно придётся применять динамическую маршрутизацию, так как схема стала чуть сложнее.

Успехов.

Повесить vlan интерфейсы на бридж. условно интерфейсы vlan10 vlan-id=10 и vlan20 vlan-id=20, накинуть на них адреса
То, что вы хотите называется InterVLAN routing. Он реализуется как я описал выше.
далее в качестве шлюза указывать ip этих интерфейсов для своей сети соответственно

Отлично, раз у вас beta 7.1, то этот момент сразу пропускаем.

И так.
На сервере вы настраиваете всё точно также как и обычно - добавляете нового peer в файл настроек wireguard.
На микротик настраиваете подключение согласно одной из множества инструкций по настройке WG на MikroTik

Как только коннект установлен и линки подняты начинается интересное.
На vps уже должны быть разрешены форфардинг пакетов с и на интернфейс wireguard (обычно это wg0) и включен форвардинг пакетов на уровне ядра (соответствующая настройка в файл sysctl.conf)

Теперь настройки микротик:
настроить новый NAT на интерфейс wireguard
в настройках firewall в address list добавить адрес вашей локальной сети (например имя LAN, адрес 192.168.88.0/24)
Там же в firewall в mangle настраиваете маркировку соединений: prerouting - src. address list "LAN" - action "Mark Connetion" - New connection mark "bh-conn"
рядом же маркируете маршруты по этому соединению: prerouting - connection mark "bh-conn" - src. address list "LAN" - action "mark routing" new routing mark "bh-rt"
После заходите в ip - route, добавляете новый статический маршрут с большой "ценой", пусть будет 100, gateway выбираете интерфейс wireguard, route mark выбираете bh-rt
после всех этих манипуляций весь трафик из вашей локальной сети должен пойти в тоннель на vps

всё делается достаточно просто.
Выписываете mac-адрес устройства, которое провайдер разрешает подключать к его сети,
подключаете роутер к провайдеру и меняете mac внешнего интерфейса роутера, на mac из первого пункта
далее идёт стандартная настройка роутера.

Эх, скольким знакомым пришлось помогать в своё время с такими провайдерами..