Ziptar

1. Не употреблять слово "мост" в данном контексте.
2. Разобраться с маршрутизацией на малине.

Если речь идёт о роутере с RouterOS на борту, то не оперирует она такими понятиями, как транк или аксес порты. Если у вас на порте есть несколько вланов - он транковый, если один - аксес. Причём настроить всё это можно аж тремя разными способами.

Я скрипт колхозил на vbs в своё время; для других целей правда - для отмены автовыключения комьютера.

Option Explicit

Dim msg, title, result
Dim WshShell

msg = "Компьютер скоро будет выключен." & vbnewline & "" & vbnewline & "Для отмены нажмите OK"
title = "Автоматическое завершение работы"

Set WshShell = WScript.CreateObject("WScript.Shell")

result = WshShell.Popup (msg, 900, title, vbOkOnly + vbCritical + vbSystemModal)

Select case result
case vbOK
WshShell.Run "shutdown -a"
WScript.Quit 1
case else
WScript.Quit 0
End Select

Модифицировать предлагаю самому.

/interface bridge port
add bridge=bridge interface=ether1

/interface list member
add comment=defconf interface=ether1 list=WAN

/ip upnp
set enabled=yes

/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external

У вас wan интерфес в бридже с lan интерфейсами, да ещё при всём при этом с включённым upnp. Я бы ничему тут не удивлялся.

Если клиенты подконтрольны - настраивать ipsec или pppoe/vpn. Оба варианта требуют настройки на клиентских машинах. Оба варианта прожорливы по ресурсам, громоздко, муторно. ipsec будет слегка аккуратнее.
Если клиенты неподконтрольны - только избавляться от неуправляемого свитча. Хотя этот вариант и в первом случае предпочтительнее.

Отдельная подсеть для виртуальной wlan, policy base routing по src-addr

auth-user-pass-verify auth.vbs via-file

Ну, Вы понимаете, что это только дополнительная аутентификация?

Какой роутер подойдет для этого?

Лучше всего - любой роутер с OpenWrt на борту, или возможностью на него перепрошиться. Даже если будут приключения - на OpenWrt их будет проще обойти, чем на родных прошивках различных брендов.
А что до проприетарных реализаций openvpn (как в ROS, например) - лучше не надо.

Как это правильно организовать

В простейшем случае таблицу маршрутизации для определённого трафика проще переназначить через мангл, имхо.

Впрочем, я не вполне понимаю что вы хотите сделать.

при этом весь трафик отправить в другой шлюз(провайдера)

Трафик чего?

Регулярка на L7 не умеет работать по схеме, всё кроме выражения.

- Помечаете через mangle соединения, соответствующие попыткам подключения этого компьютера к серверам windows update и нужному сайту на прероутинге либо на форварде, со снятой галкой passtrought
- В фаерволе на форварде разрешаете промаркированные таким образом соединения, и запрещаете все прочие для этого компьютера (не забыв разрешить dns и ntp, конечно)

1)собственно по какому пути идти?

В общем случае вариант 2, остальное может плавать в зависимости от назначения сайта и прочих деталей.

2)нужно-ли докручивать безопасность на IIS и что крутить?

А что на сайте то? Аутентификацию крутите, что б безопасно.
В целом можно выделять под сайт отдельный сервер, организовывать DMZ, но нужно ли оно в вашем случае?

3)имеет ли смысл добавлять еще один сетевой адаптер на IIS и с него пускать в мир?

Без DMZ - только если большая нагрузка.

Ну ежели речь про вин: диспетчер устройств -> контроллеры запоминающих устройств

Смотреть в сторону MSS и MTU у PPTP подключения и у L2TP подключения.

Postfix в качестве MTA, с привязкой SASL (я cyrus использую, dovecot слишком замороченный для таких целей) для отправки писем с того же самого gmail'a, но через postfix. Получение простым редиректом на ящик gmail. Хранение писем вам не нужно, бд вам не нужны.
В настройках домена базово вам нужно только прописать адрес почтовика в mx запись. Как настраивается SPF и DKIM легко гуглится - это самая простая часть.

Под винду не советую... слишком дорого выйдет в итоге - сопоставимо с использованием непосредственно GSuite.

Можно отлавливать скриптом поднятие l2tp подключения и прописывать статику в настройки днс. Но я не уверен, что статически прописанные серверы имеют для микротика приоритет над динамическими.
В таком случае можно скриптом отлавливать поднятие l2tp подключения и включать правило для ридиректа запросов на 53/UDP на 8.8.8.8 например.

:if ([:len [/ppp active find name="имя l2tp подключения"]] > 0) do={
/ip firewall nat enable [find comment~"Часть коммента правила с редиректом"]
} else {
/ip firewall nat disable [find comment~"Часть коммента правила с редиректом"]
}
Ну и само правило на редирект создать с соответсвующем комментом, а скрипт запускать каждые 10 сек., предположим.
Как-то так, но это не точно.

https://wiki.mikrotik.com/wiki/Manual:IP/Cloud

Или нет?

А почему нет, если распространяемый вами софт не является пиратским?

Я так понимаю, что все усложняется тем, что G Suite могут подключать как минимум ИП? Простые физ.лица нет? Благодарю.

Гуглу абсолютно пофигу, это я как физ. лицо и пользователь gsuite говорю. Единственное НО - если платить не через реселлера, то обязанность уплаты НДС в РФ возлагается на пользователя, а физлица в РФ сами НДС платить не могут. Так что лучше через реселлера, во избежание.