TheBigBear

"имел свой ip в главной сети" - не понимаю зачем?
Доступ к регистратору можно получить двумя способами
1. Если "вторая сеть" имеет внешний IP - элементарное правило NAT. Чтобы не выпускать регистратор во всю сеть Интернет - указать Src Address "главной сети"
2. На роутере "второй сети" поднять l2tp клиента, прописать в IP Routes маршруты. Если не хотите видеть всю "вторую сеть" пропишите только адрес IP регистратора вместо 0/24

Для начала. Убедимся что IP "белый"
Заходим на https://2ip.ru/ - смотрим свой IP адрес
По https://2ip.ru/whois/ - введи предоставленный провайдером dyndns имя
Сравни эти IP. Если совпали - замечательно
Попробуй прописать в роутере внутренний IP адрес сервера в DMZ-зону Он тогда завернет ВСЕ входящие запросы на твой внутренний сервер. Если достучишься - значит провайдер не блокирует входящие. Некоторые блокируют по-умолчанию и эту функцию надо отключать в личном кабинете.
И при чем тут порт 5001? http - обычно 80й порт
В правиле internal port поставь 80, а снаружи стучись http://МойIPАдрес:5001
И учти, что запись МойIPАдрес:5001 не проканает - по-умолчанию браузер подставит https вместо http

Достойная железяка.
Он потянет в разы больше
Лишь бы ширины канала хватило на всех
Даже если Вы на нём поднимете VPN-сервер, CAPsMAN, балансировку каналов, продвинутый prerouting, скрипты и многое другое
P.S. у меня несколько "старичков" RB450G уже много лет чуть меньше сетки тянут и не жужжат. Настроил и забыл

Как на паркомат интернет попадает?
У некоторых роутеров Mikrotik есть датчик напряжения.
Запитать его напрямую к батарее (ему что 12 вольт, что 24 - всё едино)
И получай данные хоть в режиме онлайн
Например старичка RB450G на авито можно купить за совсем смешную сумму

1. CRS 326 -24G является больше коммутатором чем маршрутизатором
L2TP+IPSEC не потянет (проверено на MIKROTIK CRS125-24G-1S-RM)
L2TP без IPSEC тянет на раз. Но попытайся уговорить руководство на железку с аппаратной поддержкой шифрования. Или поднимай VPN отдельным сервером.
КД (Контроллеры домена) скорей всего будешь поднимать виртуалками? (это самое правильное решение)
Но в случае какого либо сбоя (питания, Hyper-V сервера) сеть останется без DNS и DHCP
С моей, сугубо личной точки зрения:
DHCP и DNS настрой на микротике. (тем более что DHCP-серверов планируется несколько) Первым DNS - пропиши контроллер домена вторым - провайдера. В этом случае даже при недоступности КД сеть и интернет будет работать. Ну или пропиши в микротике STATIC DNS что-то вроде:

/ip dns static
add name=domains._msdcs.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.dc._msdcs.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.default-first-site-name._sites.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.default-first-site-name._sites.dc._msdcs.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.Default-First-Site-Name._sites.Мой_КД.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.controller._msdcs.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.default-first-site-name._sites.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.Мой_КД.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kerberos._tcp.Мой_Домен.localnet srv-port=88 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kerberos._tcp.default-first-site-name._sites.Мой_Домен.localnet srv-port=88 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kerberos._tcp.default-first-site-name._sites.dc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kerberos._tcp.dc._msdcs.Мой_Домен.localnet srv-port=88 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kerberos._udp.Мой_Домен.localnet srv-port=88 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kpasswd._tcp.Мой_Домен.localnet srv-port=464 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kpasswd._udp.Мой_Домен.localnet srv-port=464 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_tcp.Default-First-Site-Name._sites.dc._msdcs.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_tcp.Default-First-Site-Name._sites.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_tcp.default-first-site-name._sites.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_tcp.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=default-first-site-name._sites.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_gc._tcp.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_gc._tcp.default-first-site-name._sites.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_sites.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_vlmcs._tcp.Мой_Домен.localnet srv-port=1688 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV

Этим подружишь домен с микротиком

2. Именно поэтому DHCP-сервера лучше завести на микротике
3.3 Забудь про порт 3389!!!! Пропиши любой другой (22222, 34567....)

Я поступал обычно просто - просил техподдержку предоставить "вчерашний" бэкап сервера. И мне давали доступ на скачивание файла .vmdk (даже упаковкой не заморачивались)
Eсли хотите сам изнутри скопировать - то мешает подключить еще один диск (допустим домашний) через WebDav или через VPN подключиться к сетевому диску (или iSCSI поднять)
Из инструментов - veeam backup бесплатная версия

Я бы тоже порекомендовал Микротик, но боюсь у Вас знаний не хватит грамотно его настроить. В его настройку надо "въехать" - тогда точно больше никакой другой роутер Вас не понравится - замечательная железка!
Так что мой совет - Кинетик (интерфейс на русском, логичен и понятен даже для неспециалистов.
В настройках подключаете Wireless ISP как резервный.
Единственный недостаток (возможно его исправили - давно не проверял) - не хотел сам переходить на резервный интернет, если линк до шлюза проводного провайдера пинговался - приходилось тупо провод из него выдергивать
Клиент OpenVPN ставится через Управление- Общие настройки - изменить набор компонентов

Обычным НАТом. Он работает в обе стороны
У меня так реальный IP RDP сервера скрыт
у пользователей прописан IP "белого" сервера-пустышки, а микротике таким образом- реальный "рабочего" сервера
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.2.3.4 protocol=tcp to-addresses=172.16.1.1

Если почта нужна только для пересылки писем без всяких "плюшек" и интеграции с AD - проще пользоваться внешними решениями.
Например mail.ru для бизнеса. Без доп функционала - бесплатно.
У нескольких моих клиентов как настроил - лет 5 как полёт нормальный.
Из плюсов - никакого сервера - меньше работ по обслуживанию. Почта на сматфоне - легко. Размер ящиков не ограничен. Хочешь - outlook - хочешь вэб-интерфейс. Не реклама.
Из минусов - есть геморрой с разблокировкой если какой-нибудь ящик блокируют за "спам". Нет уверенности что не контролируется ФСБ (хотя если честно то пофиг)

Примерно у половины моих клиентов по много лет стоит Cobian Backup. У одного вообще больше 10 лет непрерывно работает. Правда эта программа предназначена в основном для пользовательских машин.
У остальных стандартные средства "Система архивации данных Windows Server" или шары на Synology

Сколько машин в сети 192.168.20.0/24 ?
Если всего одна - зачем такие сложности?
На первой машине объединить обе сетевухи в мост и второй машине дать IP из диапазона 192.168.10.0/24
Что касается доступа к SQL - скорей всего просто файервол не пускает.
Проверь что порт 1433 находится в исключениях
На хосте я так понял Win10? Как он сети идентифицирует? (сеть предприятия или общественная)

Раз сеть домашняя и сервер для экспериментов...
На роутере ручками в настройках DHCP в полях DNS указать IP адрес AD сервера ВТОРЫМ (первым - либо провайдера, либо 8.8.8.8)
Это избавит от проблем с Интернетом в то время, когда AD сервер по каким-либо причинам будет выключен (и соответственно DNS-сервер на нём). Т.е. наличие Интернета для всяких гаджетов не будет зависеть от сервера
Основной роутер какой? Не проще ли на нём поднять VPN-сервер?
Или Вы хотите просто экспериментировать и самообучаться?

Доступ в корпоративную сеть только через "белый список" МАС-адресов
Телефоны сотрудников - в гостевую сеть с авторизацией (ну или раз в неделю меняй пароль)

Я так понимаю - DHCP-сервер поднят на той-же машине что и AD?
Смотрите логи.
Lease time у адресов какой? Может старые адреса не освободились, а пул закончился? (у меня раз такое было)
Если вручную прописать айпишник - сервер AD пингуется?
виртуальный коммутатор не могли изолировать нечаянно?

Всё-таки лучше по предметам. Так понятней. Олимпиада - как-то вторична, а вот сканы книг, готовые решения и прочее касающееся конкретного предмета будет в одном месте.
И ещё совет не по Вашему вопросу. Обязательно делайте регулярные бэкапы. Я на своей шкуре это осознал когда много лет назад переустанавливая систему стёр папку со своей дипломной работой.