Дмитрий Шицков

Я бы ставил на то, что скорее не хватит, чем хватит. Шифрованные туннели думаю будут на скорости около 15 Мбит.
Следует установить модель и использовать алгоритмы в соответствии с этой таблицей https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Har...

:global datetimestring ([:pick $thisdate 0 3] ."-" . [:pick $thisdate 4 6] ."-" . [:pick $thisdate 7 11])

Аналогично поступите с переменной со временем. Как здесь, разбивайте на более мелкие части дату(время) и подставляйте "-" где нужно

Полагаю, в вашем случае заработает следующая схема:

1. Создать новый Bridge
   
2. Поместить в него порты WAN и IPTV-приставки
   
3. Перенести DHCP-Client роутера на вновь созданный бридж
   
4. Скорее всего, исправить правила маскарадинга
   

GRE + IPSec.
Почему:
Настраивается сперва GRE, маршруты и проверяется работы. Потом уже можно поднимать IPSec. Это разделит возможные проблемы маршрутизации и настроек шифрования.
Так же наиболее универсальный способ, совместимый с большинством оборудования различных вендоров.

Не OpenVPN - Микротики его поддерживают для галочки, развитие этого протокола они похоронили.

Если видимость прямая - все отлично.
Если антенны узконаправленные - отлично.
Понадобится 2 человека чтобы корректно сориентировать антенны.
Если будет 5 ггц - потребуется разрешение или вера что никого не заинтересует

На вскидку припоминаю только этот метод. Курите в том же направдении
https://www.google.com/url?sa=t&source=web&rct=j&u...

Нет. Так нельзя. "В один" и при этом "с 1 ip" их слить можно только у провайдера.
Уточните, зачем это нужно. Возможно вам нужен DNS round robin.
Правильно будет приземлить соединения на балансировщик - nginx или haproxy. А там уже можно настроить липкие сессии, чтобы 1 раз установленная сессия всегда шла на тот же самый сервер.

Наиболее выгодным и часто используемым способом будет докупить пул /30, который провайдер должен смаршрутизировать на уже имеющийся у вас адрес. Для провайдера это тоже самое что выделить один адрес, а для вас - 5 адресов по цене двух.

Иногда провайдер не соглашался, но все же можно попробовать выпросить пул на /32, но вероятнее всего его стоимость будет та же, что и за /30

Пинги для воздуха просто отличные.

Диапазон 2,4 довольно загруженный и на ccq может влиять множество параметров. Возможно, стоит попытаться выбрать наименее загруженный частотный диапазон и зафиксировать его на точках. Можно так жетиспользовать протокол nstream вместо nv2. Он должен лучше работать на соединениях точка-точка.

Ну и, наконец, 5 Ггц...

Из того что видно, я бы предполодил что у вас в форварде разрешен только трафик на порт 445. Выложите конфиг фаервола выгрузкой из консоли.

Крлме того, поведение виндоаого брандмауэра по умолчанию - блокировать icmp из других подсетей. Тестируйте на машине с предварительно отключенным брандмауэром на принимающей стороне.

И для чего у вас провайдер в свитч воткнут?

В текущей конфигурации у вас вероятно не работает hw-offload. Перенастройте с одним бриджом по примеру из wiki.
https://wiki.mikrotik.com/wiki/Manual:Interface/Br...

А официальная инструкция не заработала?
https://wiki.wifly.net/?p=376

Судя по вашему рассказу, текущие правила уже обеспечивают требуемый функционал. В противном случае, ваш рассказ и действительность (конфиг) расходятся.

Нажать Copy, указать другой ip, сохранить

jira, SMB, Synology, QNAP, confluence и т.д.

Большинство сервисов умеют авторизацию по LDAP. Реже - RADIUS.
У Микротика RADIUS сильно функционально порезан.

Рекомендация: Поднять отдельный LDAP-сервер (от себя порекомендую OpenDJ) для централизованной авторизации пользователей. При необходимости, прикрутить к нему RADIUS. Mikrotik здесь не помощник - он роутер.