TheBigBear

VPN-канал от офисного микротика до ДЦ (любой, я лично похожее реализовывал на L2TP)
далее EoIP-туннель поверх VPN
В офисе создать бридж, в который добавить EoIP-туннель и интерфейс, к которому подключен сервер - в ДЦ - в CHR создать бридж, в который добавить EoIP-туннель и интерфейс, смотрящий наружу (крайне рекомендую все настройки микротика делать включив SAFE MODE!!!!)
Вот только самое лучшее - простой проброс нужных портов до сервера. Почему он не подходит?

Доступ по RDP?
А не проще натравить клиентов на 10.10.10.1?
И на Микротике прописать dstNAT с 10.10.10.1:3389 на 192.168.1.7:3389
Это ещё хорошо и тем, что в случае необходимости перейти на другой сервер - достаточно поменять IP в dstnat

Использование сети 192.168.1.0/24 крайне неразумно.
А если дома у клиента стоит Кинетик (который по дефолту имеет домашнюю сеть 192.168.1.0/24) - и тогда прописанный маршрут будет сильно мешать

не пробрасывайте никогда 80 порт, он может быть заблокирован или быть постоянно атакован ботами
Оно Вам надо?
Лучше так
На микротике
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=10080 protocol=tcp to-addresses=192.168.20.127 to-ports=80

Стучитесь на свой Zabbix
http://мой_внешний_IP_адрес:10080
обязательно указывайте http в начале, так как если не указать - по умолчанию сейчас все браузеры стучатся по https

Не озвучили бюджет
Но в принципе на такую сеть RB3011UIAS-RM должно хватить.
У меня парочка таких стоят на похожих сетях и не напрягаются
Есть и USB для модема, и порт SFP для оптики, и 10 портов гигабитных для сегментации сети

Прежде чем покупать какую-либо железку
- Поставь на телефон программу WiFi Analyser и походи по квартире. Посмотри как каких каналах вещает твой WiFi и есть ли на этих каналах ещё кто. Часто для устойчивой работы достаточно сменить канал
- В настройках WiFI у микротика какая страна стоит? Поставь Боливию, Бразилию или Новую Зеландию (на свой страх и ответственность) Это снимет ограничение в мощности передатчика в 200 mW
- Попробуй сдвинуть или перенести роутер левей-правей-выше-ниже
- почитай про технологии MESH и CAPsMAN и уже из этого выбирай доп оборудование. (MESH проще и позволяет пользовать других производителей, для CAPsMAN нужен ещё один Микротик) В схеме не понял - в крестиках это только розетки или ещё протянут Ethernet-кабель от роутера? Если да, то не понял как он подключен к именно твоей модели Микротика.

"Зашел через винбокс в микротик hap ac2, пара логин/пароль заполнилась автоматически"
посмотри внизу в винбоксе во вкладке Managed - обычно там с логином-паролем сохраняется
"и переключился на второй микрот-свич"
как переключился? ввёл новый IP или всё-таки выбрал из сохранённого списка?

Поищи на компе файл Addresses.cdb
Обычно AppData\Roaming\Mikrotik или в сохранённых где-нибудь
там пароли в незашифрованном виде

Если IP не меняются - достаточно прописать в Static DNS микротика в филиале

/ip dns static
add address=192.168.1.3 name=serv1

Если компы в офисе и филиале в одном домене вообще никаких проблем - в филиале в настройках DHCP указать использовать первичным DNS офиса

Дай угадаю:
в основном проблема с айфонами?
Lease time на DHCP-сервере стоит по умолчанию 10 минут?
Увеличь хотя бы до 2-3 часов
У себя (микротик+UniFi) я похожую проблему решил именно так несколько лет назад (я поставил 8 часов - как раз рабочий день)

В Winbox заходи на роутер
открывай New terminal
Вводи команду export file=myconf.rsc (ну или как сам обзовёшь)
открывай Files
найди файл с названием myconf.rsc и перетащи себе на рабочий стол
Это обычный текстовый файл, который можно редактировать простом блокнотом имеющий простые и почти понятные команды
Можешь даже временно расширение .rsc заменить на .txt
И потом хоть обредактируйся по самое нехочу
Ну и в обратку потом перетащи файл в нужный микротик в Files
сбрасывай микротик в Reset без восстановления конвигурации
открывай New terminal
import file=myconf.rsc
Всё

По первому вопросу
У клиентов-микротиков вовсе не обязательно иметь постоянный внешний IP адрес
Прописывать у них нужно ВНЕШНИЙ IP микротика назначенного L2TP сервером. А ему по-барабану - есть ли у тех внешний IP или нет. Главное - не забыть открыть UDP-порты в файерволе (500,1701,4500)
IP который даётся при подключении Микротику к L2TP серверу ДЕЙСТВИТЕЛЬНО берётся из головы сисадмина
Просто есть правила которых стараются придерживаться
Т.е. принимается, что диапазон (Pool) например 10.10.10.1-10.10.10.200 или 10.12.1.1-10.12.1.200. или 172.16.0.1-172.16.0.200 будет назначаться подключаемым устройствам
По второму
Будешь прописывать Secret (пользователей) - можно просто указать этот Pool адресов и автоматически назначать - но лучше писать ручками
local address - 10.12.1.1 (адрес сервера L2tp)
remote address - 10.12.1.2 (адрес клиента l2tp)
и у каждого свой. Легче маршруты прописывать
И крайне желательно, чтобы подсети не совпадали
например
центральный офис - 192.168.0.0/24
филиал1 - 192.168.1.0/24
филиал2 - 192.168.2.0/24

А сами маршруты можно отдать на откуп OSPF - справится
Или ручками прописать - ничего сложного если их немного
По третьему
подключение будет постоянное если не настроишь иное (таймаут, лимит, расписание)
причем как на стороне сервера, так и клиента (желательно - тогда он не будет "доставать" сервер попытками подключения когда тот отрубит соединение)

Если Вы из России, то просто не имеете права просто так раздавать интернет всем желающим
(97-ФЗ от 05.10.2014 года, ПП № 758 от 31 июля 2014 г., № 801 от 12 августа 2014 г.)
Рекомендую посмотреть тут
Настройка Микротика тут
Во всяком случае, это либо отпугнёт хацкера, либо даст вам смотреть логи, а главное, в случае чего избежать штрафа

Route List глянь - у семерки там немножко по другому маршруты описываются

Микротику по барабану куда DSTNATить - внутрь или наружу
Такая схема вполне работает
У меня так внешний сервер "замаскирован"

Сохраните эталонную конфигурацию
Поставьте скрипт, отправляющий раз в сутки например, на почту копию текущей конфигурации
Всегда сравнить можно с эталонной - редакторов умеющих сравнивать два текстовых файла полно