AntHTML

0. Не только из вне, но и во вне
1. Необязательно пихать все ПК в один сегмент, особенно если юзеры занимаются очень разнообразными задачами.
2. 192.168.х.х у некоторых считаются плохим тоном из-за того, что большинство оборудования по дефолту использует эти адреса и если без подготовки втыкнуть в сеть условный туполинк, то, считается, что он наделает проблем больше чем если бы его втыкнули в 10.х.х.х, а также если придется строить VPN сети к "удаленщикам" могут возникнуть коллизии маршрутизации с их туполинками
3. Читайте теорию ip адресации - 10 можно делить на меньшие подсети, собственно как и 192.168.0.х можно делить на /25+ подсети - для чего и как описано в теории, а также плюсы/минусы данных решений.
4. Бестпрактикс - каждому пулу по влану - в реальности, обычно, так и получается. смысла пихать несколько подсетей в vlan обычно не возникает (если не ультралоупрайс оборудование)
5. В зависимости от назначения, политики иб и прочего
6. см. п. 5
7. По ситуации, если в кабинете только одна розетка или на свиче больше нету портов и никаких перспектив - комп через телефон. Если у рабочего места только 2 розетки - принтер через телефон, если и розеток и портов на свичах хватает - в идеале каждое устройство отдельно, а телефоны по poe. Иначе: у меня ничего не работает, тк забыл включить телефон в розетку.
8. Отдельными свичами и маршрутизаторами, в том числе с разбиениями по периметрам, иначе может быть плохо и сети и ИБ
9. По месту и требованиям

В сети на 2000 пользователей, 50 серверов, 3 провайдерам и 20 филиалов одного шлюза не достаточно.
Там целая серверная должна ядром сети рулить потому как такой трафик в одиночку ни одна железка не переварит, да и если таки на нее все засунуть - это будет конфиг на туеву кучу страниц

А аля чего тут С#?

Идеальный вариант - по микротику с VPN на каждую точку, которые подключаются клиентами к вашему IP - тогда никакие порты пробрасывать не надо и все настройки можно пилить удаленно или вообще через аркестр
По пингу, скорости и прочему - Zabbix стандартными проверками, если регики/камеры умеют в SMNP - туда же их
По тесту RTSP как уже выше написали bash скрипт парсинга ответа ffmpeg с выгрузкой в заббикс
Ну и на графане это все по красивее задизайнить

1. В чем больше понимаете, то и ставите MTK более понятен линусятникм/виндузятникам чем нацеленный на сетевиков CIscoLike
2. В зависимости от схемы и расположения можно и пяток CRS326-24G-2S+RM по этажам, а если все сводится в одну серверную, то лучше пара-тройка CRS354-48G-4S+2Q+RM в кольце. CCS лучше не берите, они управляются только WEB, ни CLI ни SSH/TL не имеют
3. роутеры смотрите на https://mikrotik.com/ по требуемой производительности 1100 и 4011 - по сути одно и тоже только в разных корпусах (ну 1100 мож понадежней, особенно dude). Сейчас набирает популярность 5009 вроде тоже ничего железка.

MS Excel умеет в сортировку

Ну вообще чтобы настроить "прозрачный" прокси, то его нужно изначально настраивать как "прозрачный" прокси. Но тогда очень много придется костылить с маршрутизацией.
Эникею филиала врятли такое дадут делать, тк велик шанс положить всю сеть, как минимум, филиала. Да и прокся скорее всего создавалась безопасниками для возможности следить куда народ лазит

Все зависит от конкретного провайдера, его хотелок и настроек (возможностей) оборудования на месте.
Технически: если у них не включены ни какие фильтрации на уровне доступа, то ничто не мешает на одном, не шибко тупом, роутере поднять 2 L2TP (свой и соседский) и назначить их на разные LAN порты.
Либо еще какие заморочки, смотря что там у прова наверчено.

Звонить в техподдержку провайдера. Раз небыло роутера значит была или статика и/или фильтрация по mac-адресу или еще чего. Ну или смотреть в приложениях к договору перечень настроек

D-Link DES-1008P/C1A

Потому что свободные белые V4 давно закончились, новые не выдают, то что сейчас есть на рынке - перепродажи от одного провайдера другому.
Чтобы эту покупку окупить их и перепродают желающим клиентам, остальным, для сидения в одноглазниках достаточно и NAT.
Какие-то провайдеры, в свое время успели закупиться впрок и у них еще осталось достаточно адресов на клиентов, но по мере израсходывания, также будут потиху переводить на NAT.
Ну и как выше писали в плане пограничной инфраструктуры это также различается

Спецслужбы по белому ip узнают провайдера (т.к. у отдела К есть списки подсетей) и просто отправят ему письмо с текстом "или отвечай сам или выдавай данные", ну и естественно провайдер покажет все логи, хоть до, хоть после нат, dhcp. vlan. mac и тд. чтобы в максимальной степени снять с себя ответственнось и переложить ее на клиента.
Дальнейшее разбирательство - это проблемы клиента

Надо начинать с вопроса: А вывезет ли такое подключение провайдер?
А то есть куча людей думающих что подключив 4 линка по 500 Мб/с от провайдерского свича с аплинком 1 Гб/с они получат 2 Гб/с. И потом дико удивляются что у них в итоге получилось от 1 до 700 Мб/с в лучших моментах

Хотя бы указали что за роутер?
Практически никогда не видел чтобы домашние роутеры занижали скорость на WAN-LAN, если это не лютый китайский туполинк. Если скорость канала <80 Мбит, если больше - вам нужен гигабитный роутер.
А вот по WI-FI, особенно в многоэтажках, особенно на 2,4ГГц из-за коллизий легко может падать до 20Мбит - решается переходом на 5ГГц.
В общем: проще и лучше разобраться с роутером, чем мучаться перетыканиями.

Я бы в первую очередь, до VLANов, по возможности, разнес кассы и видеонаблюдение на разные физические сети (свичи), чтобы они объединялись только аплинками уже на микротике. Т.к. это критичные к реалтайму системы и чем проще организованы тем гораздо лучше. ну либо в отдельные access vlanы на одном свиче.
Потом бы уже смотрел где в комповских сетях лаги

Сколько угодно, иначе как целых организации с парками в несколько тысяч машин сидят с одного IP. Просто у рекапчи сложный алгоритм определения и если на один и тот же сайт одновременно ломиться с нескольких компов за натом, то она таким действием подразумевает ботнет, а если просто серфить, то, обычно, все норм

Иногда принтеры бесятся не пойми из-за чего.
Во первых, что стоит в настройках внутри самого принтера? что стоит в настройках драйвера (панель управления/устройства и принтеры/[устройство]/свойства печати)? Что стоит в программе в диалоге печати? И в параметрах страницы самого документа?
Встречались такие кадры когда отсканированный в pdf под Letter документ так выбивал из работы принтер и бороли только выставлением масштабирования в foxit reader, также диспетчер печати изображений MS любит сохранять настройки печати внутри себя, а не брать с умолчания

Нужен хороший управляемый межсетевой экран (роутер) типо Mikrotik ac2 или старше.
А дальше смотреть как и с чего куда будет гоняться трафик.
Что будет забираться с регистраторов, что напрямую с камер, ну и куда и как отдаваться