Осмелюсь дополнить ответ Wexter - в шедулер микротика можно поместить скрипт, который будет раз в месяц высылать на почту отчёт по трафику и сбрасывать счётчик на этом правиле forward.
Я для дома так же использовал такое решение - регулярно на сервер закачивается база блокировок РКН, из неё формируется AddressList и помещается в Микротик. Микротик в VPN заворачивает трафик только для данного AddressList.
Физ-лицо не может получать платежи.
По новому закону, для принятия платежей на сайте, должна быть хотя бы онлайн-касса.
Тут ну всё очень понятно написано и нарисовано: https://money.yandex.ru/fastpay?_openstat=promo;ad...
Под ваши задачи подойдёт https://mikrotik.com/product/rb1100ahx4 без сертфикатов ФСТЭК. От RB3011UiAS-RM, который предложил Александр Карабанов, производительностью отличается незначительно. Основное техническое отличие - аппаратное шифрвоание IPsec (до 2Гбит/с). У вас только репликации гонять по VPN, поэтому rb1100 может быть и излишен.
С сертификацией Check Point 4000 серии https://www.checkpoint.com/ru/products/4000-appliances/
Сам этими аппаратами не пользовался, но по отзывам от коллег, очень удобные, в т.ч. когда требуется блокировать различные ресурсы.
Вариантов решения множество. Желательно починить транки на исходящие вызовы.
Вариант, к примеру, перед соверещнием вызова, проверяете какие симки свободны. Из CDR для их префиксов запрашиваете их суммарный billsec. Звоните через симку с наименьшим суммарным billsec
Идентификация по IP, например. В таком случае, пользователей с разными уровнями доступа следует поместить в разные подсети для удобства и применить для них ограничивающие пававила через /ip proxy access
Насколько я помню, в прокси нет встроенного ограничителя по времени. Придётся использовать Sheduler Микротика и с помощью скрипта выключать и включать правила по расписанию https://wiki.mikrotik.com/wiki/Manual:System/Scheduler
