TheBigBear

на старом микроте сначала всех кого надо загнать в Static IP
Затем сделать в Terminal
/export file=old.rsc
(это будет весь конфиг микрота - может пригодиться если что забудешь)

Скопируй этот файл на комп через раздел Files

Открой этот файл блокнотом
Найди строку
/ip dhcp-server lease
скопируй её и все что ниже до следующей строки начинающейся на /
На новом микроте открой terminal
И вставь и нажми Enter

ВАЖНО - названия DHCP серверов на обоих микротиках должно совпадать

Установи новый пакет WifiWave2 с сайта mikrotik (Extra packages)

Повторю свой очень старый ответ:
Если ваша модель микротика поддерживает контроль питания, то вот мой скрипт в пару строк всего
:global volt [/system health get voltage];
:if ($volt < 131) do={
/tool e-mail send to="admin@my-company.ru" body="$volt" subject="Power crash"
}
Пара пояснений
Если у вас Микторик с резервированием питания - то psu1-voltage и psu2-voltage
У меня микротики (RB450G и RB3011) питаются через блоки питания типа ББП-20 (12 вольт и аккум 7 АЧ - на деле выдает 13,7 на розетке и 12.8 на полностью заряженном аккуме) напряжения хватает, глюков нет
Значение 131 = 13.1 В Почему именно это - в момент отключения питания напряжение на аккуме снижается до номинального плавно - вот и подобрал среднее
body= - пишите что хотите
почта настраивается в Tools - E-mail
Шедулер запускает раз в час - Вы можете сделать хоть раз в минуту (микротики на аккумуляторе могут работать до двух дней, так что мне не принципиально)
Проверку на то, что письмо уже отправлено и повторять не нужно делать не стал

Возможность контроля питания проверяется просто
System -> Health
Если строчка Voltage есть - то вам повезло
Дерзайте

Если конфигурация из Quick Set а не с нуля написанная и файервол настроен почти по-дефолту, то
Добавь в Interface List второй порт в LAN (сейчас скорей всего у тебя там LAN только бридж)

VPN-канал от офисного микротика до ДЦ (любой, я лично похожее реализовывал на L2TP)
далее EoIP-туннель поверх VPN
В офисе создать бридж, в который добавить EoIP-туннель и интерфейс, к которому подключен сервер - в ДЦ - в CHR создать бридж, в который добавить EoIP-туннель и интерфейс, смотрящий наружу (крайне рекомендую все настройки микротика делать включив SAFE MODE!!!!)
Вот только самое лучшее - простой проброс нужных портов до сервера. Почему он не подходит?

Доступ по RDP?
А не проще натравить клиентов на 10.10.10.1?
И на Микротике прописать dstNAT с 10.10.10.1:3389 на 192.168.1.7:3389
Это ещё хорошо и тем, что в случае необходимости перейти на другой сервер - достаточно поменять IP в dstnat

Использование сети 192.168.1.0/24 крайне неразумно.
А если дома у клиента стоит Кинетик (который по дефолту имеет домашнюю сеть 192.168.1.0/24) - и тогда прописанный маршрут будет сильно мешать

не пробрасывайте никогда 80 порт, он может быть заблокирован или быть постоянно атакован ботами
Оно Вам надо?
Лучше так
На микротике
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=10080 protocol=tcp to-addresses=192.168.20.127 to-ports=80

Стучитесь на свой Zabbix
http://мой_внешний_IP_адрес:10080
обязательно указывайте http в начале, так как если не указать - по умолчанию сейчас все браузеры стучатся по https

Не озвучили бюджет
Но в принципе на такую сеть RB3011UIAS-RM должно хватить.
У меня парочка таких стоят на похожих сетях и не напрягаются
Есть и USB для модема, и порт SFP для оптики, и 10 портов гигабитных для сегментации сети

Прежде чем покупать какую-либо железку
- Поставь на телефон программу WiFi Analyser и походи по квартире. Посмотри как каких каналах вещает твой WiFi и есть ли на этих каналах ещё кто. Часто для устойчивой работы достаточно сменить канал
- В настройках WiFI у микротика какая страна стоит? Поставь Боливию, Бразилию или Новую Зеландию (на свой страх и ответственность) Это снимет ограничение в мощности передатчика в 200 mW
- Попробуй сдвинуть или перенести роутер левей-правей-выше-ниже
- почитай про технологии MESH и CAPsMAN и уже из этого выбирай доп оборудование. (MESH проще и позволяет пользовать других производителей, для CAPsMAN нужен ещё один Микротик) В схеме не понял - в крестиках это только розетки или ещё протянут Ethernet-кабель от роутера? Если да, то не понял как он подключен к именно твоей модели Микротика.

"Зашел через винбокс в микротик hap ac2, пара логин/пароль заполнилась автоматически"
посмотри внизу в винбоксе во вкладке Managed - обычно там с логином-паролем сохраняется
"и переключился на второй микрот-свич"
как переключился? ввёл новый IP или всё-таки выбрал из сохранённого списка?

Поищи на компе файл Addresses.cdb
Обычно AppData\Roaming\Mikrotik или в сохранённых где-нибудь
там пароли в незашифрованном виде

Если IP не меняются - достаточно прописать в Static DNS микротика в филиале

/ip dns static
add address=192.168.1.3 name=serv1

Если компы в офисе и филиале в одном домене вообще никаких проблем - в филиале в настройках DHCP указать использовать первичным DNS офиса

Дай угадаю:
в основном проблема с айфонами?
Lease time на DHCP-сервере стоит по умолчанию 10 минут?
Увеличь хотя бы до 2-3 часов
У себя (микротик+UniFi) я похожую проблему решил именно так несколько лет назад (я поставил 8 часов - как раз рабочий день)

В Winbox заходи на роутер
открывай New terminal
Вводи команду export file=myconf.rsc (ну или как сам обзовёшь)
открывай Files
найди файл с названием myconf.rsc и перетащи себе на рабочий стол
Это обычный текстовый файл, который можно редактировать простом блокнотом имеющий простые и почти понятные команды
Можешь даже временно расширение .rsc заменить на .txt
И потом хоть обредактируйся по самое нехочу
Ну и в обратку потом перетащи файл в нужный микротик в Files
сбрасывай микротик в Reset без восстановления конвигурации
открывай New terminal
import file=myconf.rsc
Всё

По первому вопросу
У клиентов-микротиков вовсе не обязательно иметь постоянный внешний IP адрес
Прописывать у них нужно ВНЕШНИЙ IP микротика назначенного L2TP сервером. А ему по-барабану - есть ли у тех внешний IP или нет. Главное - не забыть открыть UDP-порты в файерволе (500,1701,4500)
IP который даётся при подключении Микротику к L2TP серверу ДЕЙСТВИТЕЛЬНО берётся из головы сисадмина
Просто есть правила которых стараются придерживаться
Т.е. принимается, что диапазон (Pool) например 10.10.10.1-10.10.10.200 или 10.12.1.1-10.12.1.200. или 172.16.0.1-172.16.0.200 будет назначаться подключаемым устройствам
По второму
Будешь прописывать Secret (пользователей) - можно просто указать этот Pool адресов и автоматически назначать - но лучше писать ручками
local address - 10.12.1.1 (адрес сервера L2tp)
remote address - 10.12.1.2 (адрес клиента l2tp)
и у каждого свой. Легче маршруты прописывать
И крайне желательно, чтобы подсети не совпадали
например
центральный офис - 192.168.0.0/24
филиал1 - 192.168.1.0/24
филиал2 - 192.168.2.0/24

А сами маршруты можно отдать на откуп OSPF - справится
Или ручками прописать - ничего сложного если их немного
По третьему
подключение будет постоянное если не настроишь иное (таймаут, лимит, расписание)
причем как на стороне сервера, так и клиента (желательно - тогда он не будет "доставать" сервер попытками подключения когда тот отрубит соединение)