TheBigBear

1. Проверь провода.
для линка 100Мбит достаточно 2 пар (оранжевая + зеленая), так что при пропадании синей или коричневой пары линк будет переходить с 1Гбит на 100 Мбит
А TP-Linkи вполне надёжные аппараты
2. DHCP сервер нисколько не нагружает ни сеть, ни роутер. Его задача - раз 10 мин (раз в час или сутки - как настроено) предоставить IP адрес обратившемуся к нему устройству. Да и не попадались мне коммутаторы (кроме микротика) с функцией DHCP сервера
3. Именно так. И я так понимаю - основной трафик сейчас в сети генерируют камеры в регистратор? Но так они уже и гоняют его по своему Poe коммутатору
И совет
Если устройство (например принтер) имеет и LAN и WiFI - подключай по LAN. Так надёжней

Можно
Например, мой домашний комп сейчас считает, что находится в локалке офиса.
Если роутеры - микротики - поднимайте EOIP поверх VPN
Главное - запретить DHCP ходить туда-сюда по туннелю и ограничить пулы например офис1 .2-150 офис2 .151-254
https://wiki.soloshin.su/mikrotik/rb952ui-5ac2nd-t...
https://uchet-jkh.ru/i/nastroika-eoip-tunnelya-mik...
Но всё-таки стоит сделать разные подсети и прописать маршруты

попробуй Advanced Port Scanner
открытые порты компа и роутера немного отличаются
да и NetBIOS (имя хоста) будет разный

Если коммутаторы управляемые....
подключить ЛЮБОЕ устройство, МАС адрес которого известен
Пройтись по WEB-интерфейсам коммутаторов (Switching - MAC Address)

Если неуправляемые
Записать на листок или свести в таблицу все порты, которые горят (или не горят - что удобнее)
Например - 1 2 3 4 7 8 14 15 16 горят 5 6 9 10 11 12 13 не горят
И так для каждого коммутатора
Воткнуть в розетку заведомо исправное сетевое устройство (другой коммутатор, ноут - не важно)
Посмотреть что изменилось

Еще способ
Попросить помощника раз в 2-3 секунды втыкать-вытыкать устройство (лучше коммутатора) из той розетки и наблюдать появление - исчезание линка

В Netis в настройках Static routing при создании маршрута нельзя указать на каком интерфейсе этот маршрут будет действовать
Также нет возможности разделить LAN и WiFi на разные сети и отсутствует VLAN
Используйте Кинетик или Микротик - там это возможно настроить
Или любой другой роутер (сделать основным к провайдеру, а Netis подключить каскадом чисто для клиентов WiFi)

P.S.
не стесняйтесь указывать модель роутера. У Netis их куча и как минимум у двух я знаю отличаются внешне интерфейсы (голубой и салатовый) и функционал

Не озвучили бюджет
Но в принципе на такую сеть RB3011UIAS-RM должно хватить.
У меня парочка таких стоят на похожих сетях и не напрягаются
Есть и USB для модема, и порт SFP для оптики, и 10 портов гигабитных для сегментации сети

Прежде чем покупать какую-либо железку
- Поставь на телефон программу WiFi Analyser и походи по квартире. Посмотри как каких каналах вещает твой WiFi и есть ли на этих каналах ещё кто. Часто для устойчивой работы достаточно сменить канал
- В настройках WiFI у микротика какая страна стоит? Поставь Боливию, Бразилию или Новую Зеландию (на свой страх и ответственность) Это снимет ограничение в мощности передатчика в 200 mW
- Попробуй сдвинуть или перенести роутер левей-правей-выше-ниже
- почитай про технологии MESH и CAPsMAN и уже из этого выбирай доп оборудование. (MESH проще и позволяет пользовать других производителей, для CAPsMAN нужен ещё один Микротик) В схеме не понял - в крестиках это только розетки или ещё протянут Ethernet-кабель от роутера? Если да, то не понял как он подключен к именно твоей модели Микротика.

Обратная совместимость с RJ-11 в СКС
Лет 20-25 назад мы так точно делали - тянули к рабочему месту один кабель на парную розетку RJ45
И со стороны коммутационного шкафа на патч-панели коммутировали куда нужно - сеть или телефон
по витой паре по синим проводам подавалась телефонная (модемная) линия
И при втыкании в розетку RJ-45 телефонного кабеля RJ-11 он как раз на центральную пару попадал
(хотя возможно я и не прав)

Самое простое решение (вот прям сию секунду сделать надо и нет денег на правильные железки)
WAN одного роутера на провайдера интернет изменив его локальную сеть на например 192.168.100.ххх
В его LAN порты включи остальные роутеры и распихай по сетям (2й на бухгалтерию, 3й на сотрудников, 4й на гостей)

Легко при желании
Кроме МАС и IP у ноута есть имя NetBIOS, открытые порты для, например Radmin, VNC
Если ноутбук в домене, то по DNS - у ноута будет другой IP адрес
Ну и список WiFi сетей с уровнем сигнала (приложение WiFi Scan на телефоне и пройтись по офису)

По первому вопросу
У клиентов-микротиков вовсе не обязательно иметь постоянный внешний IP адрес
Прописывать у них нужно ВНЕШНИЙ IP микротика назначенного L2TP сервером. А ему по-барабану - есть ли у тех внешний IP или нет. Главное - не забыть открыть UDP-порты в файерволе (500,1701,4500)
IP который даётся при подключении Микротику к L2TP серверу ДЕЙСТВИТЕЛЬНО берётся из головы сисадмина
Просто есть правила которых стараются придерживаться
Т.е. принимается, что диапазон (Pool) например 10.10.10.1-10.10.10.200 или 10.12.1.1-10.12.1.200. или 172.16.0.1-172.16.0.200 будет назначаться подключаемым устройствам
По второму
Будешь прописывать Secret (пользователей) - можно просто указать этот Pool адресов и автоматически назначать - но лучше писать ручками
local address - 10.12.1.1 (адрес сервера L2tp)
remote address - 10.12.1.2 (адрес клиента l2tp)
и у каждого свой. Легче маршруты прописывать
И крайне желательно, чтобы подсети не совпадали
например
центральный офис - 192.168.0.0/24
филиал1 - 192.168.1.0/24
филиал2 - 192.168.2.0/24

А сами маршруты можно отдать на откуп OSPF - справится
Или ручками прописать - ничего сложного если их немного
По третьему
подключение будет постоянное если не настроишь иное (таймаут, лимит, расписание)
причем как на стороне сервера, так и клиента (желательно - тогда он не будет "доставать" сервер попытками подключения когда тот отрубит соединение)

Если Вы из России, то просто не имеете права просто так раздавать интернет всем желающим
(97-ФЗ от 05.10.2014 года, ПП № 758 от 31 июля 2014 г., № 801 от 12 августа 2014 г.)
Рекомендую посмотреть тут
Настройка Микротика тут
Во всяком случае, это либо отпугнёт хацкера, либо даст вам смотреть логи, а главное, в случае чего избежать штрафа

80 порт по-умолчанию HTTP (не HTTPS)
Вот тут
на сайте ASUS инструкция как включить удалённый доступ
Выключите и включите правильно (https), с указанием того порта что хотите за ним закрепить
80 порт освободится