Что бы защититься от такого изнутри сети нужно сетевое оборудование поддеживающее 802.1x. Запрет неиспользуемых адресов не защитит вас от того что кто то может взять себе разрешённый адрес .
hEX с удовольствием переварит до 500mbit/s шифрованного канала. Если нужен wifi, то посмотрите в сторону hap ac2. Из стоечных решений первое с поддержкой аппаратного шифрования rb3011 с новой прошивкой.
Нужно сделать А запись. Если у вашего сервера действительно белый адрес, а не адрес НАТ сервера провайдера то всё будет работать. Так же проверьте фаервол на сервере.