Дмитрий

Как обычно - берём двухинтерфейсный маршрутизатор, один к порту в одном VLAN, другой к другому, адреса из соотв. подсетей, маршрутизация, и его на узлах как шлюз в другую подсеть.
Если коммутатор уровня L2+ (а раз на нём есть DHCP-сервер, то это так), то он сам может работать маршрутизатором - прописываешь соотв. адреса внутреннего интерфейса в соотв. VLAN (один уже не надо, на нём DHCP-сервер), и указываешь их шлюзом.
Да, подсети в разных VLAN не должны пересекаться, ессно.

В теории да.
Если появится тариф на 1 GB, то не меняя оборудование на него можно будет перейти.
Speedtest, скорее всего, покажет данную скорость.
Но какая скорость будет к конкретному серверу - не предскажет никто, так как зависит от скорости подключения с сети интернет сервера, загрузки промежуточных каналов и ещё тысячи причин...

У Вас до дома положена автомагистраль. На ней сейчас знак 50. По дороге можно в теории, ехать 100. Означает ли это, что если поднять ограничение до 100 Вы везде сможете проехать со скоростью 100?

Ну тоесть - через вифи подключение есть, а через мобильную связь нет? и Вы думаете что дело не в провайдере?

В сторону добавления маршрутов или маршрута по умолчанию

Не такой уж он и слабый для NAT, большенство домашних роутеров имеют схожие характеристики. С минимальным набором правил с NAT он справиться, а вот на VPN умрет. Хотя все таки это просчет, банально hap ac2 будет в разы лучше в качестве NAT, при это он стоит копейки. Я бы все таки продавил доп закупку.

Использовать виртуальный роутер это как стрелять себе в ногу, он обязательно в какой-то момент не запустится и удаленно этот вопрос решить не получиться.

Если сотрудников не много (до20). Как бы я сделал
Настроил бы на нем NAT с минимальными правилами и fasttrack, а если мне нужен VPN то поднял бы виртуалку и пробросил на нее нужные порты.

Я так понял требуется реализовать HairpinNAT?

Это называется перемещаемые профили пользователей
https://learn.microsoft.com/ru-ru/windows-server/s...

Поставить на комп любую программу анализатора трафика (networkmonitor; wareshark) и смотреть куда уходят от Вас пакеты.

Условно интернет можно представить в виде дорожной сети. 100 Mb - это скорость от Вас до ближайшего перекрёстка. А сервера, которым Вам надо подключиться, могут находиться на разном расстоянии, дороги до них могут быть загружены по разному. И нет единого владельца или ответственного за все это хозяйство..
Поэтому ни один провайдер и не может гарантировать скорость, так как не все в его зоне ответственности.

Когда в корпоративном ЦОДе, где я был руководителем группы сисадминов, возникла такая ситуация, то уважаемый самый старший по возрасту сотрудник предложил простой способ, который в последствии был назван по его имени "методом Фаюршина".
Научно он звучит так:
"Если имеется канал передачи информации, подключенный с одной стороны к известному источнику информации и к неизвестному приемнику информации, с другой стороны, то временное прерывание канала передачи данных позволит идентифицировать неизвестную сторону, так как она обязательно найдет другой канал передачи данных субъекту, временно прервавшему канал связи, и сообщит ему о необходимости восстановления прерванного канала. Причем, чем важнее сторона, которую необходимо идентифицировать, тем быстрее произойдет обратная связь и мощнее сигнал".
Ну а по простому - выдергиваем кабель, ждем возмущений.
Не является рекомендацией, но полезно для изучения :-)

1. Настроить VPN, который позволяет рулить маршрутами (outline не очень подходит)
2. C помощью wireshark снять дамп траффика в комент запуска copilot, найти список всех ip или даже подсетей, обращается copilot (могу сразу сказать - он стучится на подсети akamai и microsoft).
3. Добавить маршрутизацию для найденных подсетей в VPN

OpenVPN over Cloak на 443 порту.