agpecam

Прописать так или иначе всегда можно, но непонятно что имел ввиду ваш провайдер, выдавая вам этот диапазон. Возможны 2 случая:
1) Коммутируемая подсеть (в терминологии одного из моих провайдеров "плоская сеть"). Провайдер полагает, что вы его провод воткнете в свой коммутатор, подключите к нему компы или другие девайсы с адресами 154-158 и шлюзом 153. В этом случае все эти устройства будут иметь белый IP и торчать голой жопой во всемирный интернет, заботясь о своей безопасности своими средствами. Основной признак "плоской сети" - это то, что шлюз по умолчанию лежит в том же диапазоне, который вам выдал провайдер.
2) Маршрутизируемая подсеть (в терминологии моего провайдера "сеть за сетью"). Провайдер полагает, что его провод воткнут в ваш маршрутизатор, у которого уже есть его сеть для вашего интернета, скажем, A.B.C.D/30, а он дает вам еще одну сеть E.F.G.H/29, скажем, для DMZ. Он настраивает у себя маршрут, что шлюзом в сеть E.F.G.H/29 является ваш маршрутизатор A.B.C.2/30.
Вот этот момент следовало бы прояснить.
Впрочем, вы всегда можете, независимо от мнения провайдера, превратить коммутируюмую сеть в маршрутизируемую, спрятав таким образом ваши девайсы за брандмауэром микротика.
Нужно побить сеть пополам:
47.185.73.152/30 и 47.185.73.156/30 - первая сеть настраивается на WAN микротика 47.185.73.153 - default gateway, 47.185.73.154/30 - IP WAN микротика. Вторая сеть настраивается на одном из LAN интерфейсов микротика, интерфейсу дается адрес 47.185.73.157/30, а компу с виндой, подключенному к этому интерфейсу 47.185.73.158/30 с шлюзом по умолчанию 47.185.73.157. На этом LAN интерфейсе в его свойствах на вкладке General в выпадающем списке ARP выбираете proxy-arp. И все, у винды белый адрес, но она за брандмауэром микротика
Написано только что

У вас асимметричная маршрутизация - принтер идет к 172.31.31.152 через микротик, а 172.31.31.152 идет к принтеру непосредственно с WAN кинетика. Поэтому микротик видит какие-то левые SYN,ACK. Левые потому, что он не видел изначального SYN и, следовательно, SYN,ACKи не принадлежат к какому либо существующему соединению и они invalid

Мы не знаем достоверно как "обнюхиваются" приложение и телевизор. Broadcast-arp - это может быть просто следствием пробы определенных портов. Ок, если предположить, что приложение ищет в сети устройства определенного производителя по первым 3 октетам MAC, то значит оно сканирует все IP подсети, к которой подключено. Иных способов, кроме ARP запрос who has IP... для получения MAC протокол ARP не предполагает. В этом случае, во-первых, у вас телевизор в другой подсети, а во-вторых ARP-proxy на такой запрос ответит своим MAC, а не MAC телевизора с закономерными последствиями. Если ищет перебором IP : some port и в приложении нет возможности задать не свою подсеть - результат тот же.
Вам по сути нужно поместить сети офисов в один L2 сегмент, т. е. на микротиках сделать OpenVPN mode: ethernet, внести tap интерфейсы в bridge локальной сети и дать понять приложению, что удаленная сеть находится с ним в одном L2 сегменте, например, с помощью DHCP option 121, т. е. переделать всю сеть ради телевизора. Оно вам надо?

pfSense - все в гуе, дока, возможность выбора железа под любые нагрузки, простота.