AntHTML

1) Смотря сколько чел в бухгалтерии и какая у них работа. Для организации из 20 чел достаточно и нужно одного правильно настроенного типосервера на WIN10 и одного на nix (truenas и тп)
2) Оставить все как есть: 20 компов это нормально для обычной одноранговой сети, отдельная подсеть в такой организации бухам нафик несдалась достаточно в паре мест разграничить права.
3) AD стоит ставить если в сети минимум 70+ компов, а лучше 100+. При меньшем количистве - гемороя от AD больше чем пользы, это не считая стоимости инфраструктуры для нормального функционирования AD.
4) Видеоуроков нет - это игрушки для школьников и кулинаров, а вот неплохих книг по основам сетей предприятий начального уровня в соответствующем разделе рутрекера достаточно.

1. Пару самописных сайтов с общей нагрузкой в 3000-5000 в месяц (сейчас размещены на хостинге reg.ru на одном из дешевых тарифов, около 3.5к в год) Однозначно облако упадет - будете долго поднимать, да и аптайм надежнее
2. 5-7 почт на домене, одна размещена в Яндексе 360, остальные в ВК WorkSpace (за них ничего не плачу). Однозначно облако крайне трудно обучить спамлисты пропускать почту от частных IP
3. Несколько облаков - Google, Yandex, iCloud (по расходам около 10к в год, из них 7,2к - это iCloud на 2TB) Можно и к себе забрать на nextcloud, но реверс прокси должен быть в облаке, чтобы проще было построить маршруты
4. Умный дом с 25+ устройств (старый ноутбук с Ubuntu и HA под столом) локально из-за пинга
5. Plex сервер (тоже на старом ноутбуке). локально из-за пинга и трафика
6. Сервер для файлов с жестких дисков (пока у меня их 5 на рабочем столе и я постоянно подключаю нужный) локально из-за пинга и трафика
1. Игровые веб-интерфейсы (обмен по веб-сокетам) с нагрузкой 5-7 раз в месяц от 20 до 1000 одновременных пользователей. облако это прод и 1000 нормальный
2. Хостинг для виджета "Конфигуратор" с ежемесячным посещением в 10к человек. облако тоже нормальный прод

Вывод:
OnPermise выгодно хранить тяжелые файлы и локальные сервера для низкого пинга, если старый ноут "уже не торт", то можно рассмотреть какой m-atx/itx самосбор для его замены, либо аналоги intel nuc
OnCloud для доступа из вне проще и надежнее и по аптайпу и по настройкам

7 VDS виртуалок с десктопной ubuntu у разных хостеров. коннектимся к каждой по VNC и смотрим с нее сайт.
Варианты хождения через VPN, все равно, рано или поздно спалят по кукам и передаваемым параметрам системы, а держать на столе бухгалтера 7 компов чтобы каждый VPN отдельно приземлять - лишнее место.

167 - "замыкание на себя" = не удалось получить IP.
Очень похоже на то что у вас не подружился VLAN микрота и дглюка, либо же на d-link-е на физпорт прописали транком вместо аксеса.
В общем, если на микроте есть свободный порт, то вбросить его в тот же бридж 1005, посмотреть как работает локально, а потом уже протягивать порт через свитч.
Да и никаких forward-ов арендатору не надо. Обычный гостевой NAT делать

Как уже выше написал Akina, без подробного анализа проходящего через шлюз трафика не понять.
85 сферических компов, это вполне может оказаться 10 компов шарящихся в интернете, 20 периодически проверяющих почту, 5 иногда болтающих по скайпу и 50 работающих только в локальной 1Ске, а может и наоборот.
Соответственно в первом случае, любой нормальный SOHO роутер будет чувствовать себя спокойно и ненапряжно, а во втором будет тупо переполняться таблица маршрутизации и естественно отваливаться соединения, даже если там "порты гигабит", а траффика всего на 10 Мбит.

Если просто "здесь и сейчас раздать всем интернет" то
1. Роутер (желательно лучший из всех) WAN-портом в провайдера, на WAN настраиваем подключение по настройкам провайдера, на LAN подсеть пускай 192.168.0.0/24 и IP 192.168.0.1
2. Роутер бухгалтерии WAN портом в LAN1 роутера 1 - LAN портами в свичи/компы бухов - на WAN настраиваем IP 192.168.0.2, получение интернета по статическому IP с основного шлюза 192.168.2.1, на LAN подсеть 192.168.2.0/24 IP 192.168.2.1 и DHCP пускай 192.168.2.10-250
3. Роутер сотрудников WAN портом в LAN2 роутера 1, дальше аналогично на WAN 192.168.0.3 на LAN 192.168.3.0/24
4. Роутер гостей WAN портом в LAN3 роутера 1, дальше аналогично на WAN 192.168.0.4 на LAN 192.168.4.0/24
Получится двойной NAT, работать будет, но коммуникации между сетями никакой. Гораздо проще и надежней взять самую дешевую коробку от вышеназванного микротика, умного D/TP-Linka и подобного, для организации в 50+ машин - это копейки по деньгам

Вы про Console или про AUX?
Если первое то в дохрена каком оборудовании, в том числе и mtk, иcпользуется консольный именно com порт.
Если второе, то во первых легаси, во вторых - через него можно подключить консоль другой железки и поуправлять ей удаленно
ppp hdlc - легаси, раньше через aux можно было подключить dual-up модем и заюзать как резервный канал связи

А на виндах/роутерах в сети, случайно, не настроено какое нибудь uPNP или автообхор сети? А то сталкивался с парой-тройкой компов которые зашаривали к себе все 40 принтаков до которых могли добраться.

Протокол - это определенный алгоритм действий.
На чем написан, где хранится, сколько весит - зависит от уровня (см. OSI)
Без протокола, данные по сути передать нельзя - это будет набор из электронных импульсов, распознать которые можно только зная алгоритм
Написать свой протокол и общаться по нему возможно.

В такой сети объединять ядро L2/3 и роутинг в одну железяку уже технически и экономически не оч.
CRS310-1G-5S-4S+IN - классическая штука для L2/3 ядра - на свитчинге (даже по официальным тестам/спекам) она отрабатывает прекрастно, а вот на роутинге - как сам микротик пишет "ну он там присутствует"
Поэтому, я бы не гнался за наличием в роутере более одного SFP/SFP+, а брал именно оптический коммутатор ядра и отдельно роутер пот требуемую нагрузку, а то и вообще 2, один под служебную, второй под гостевую, раз судя по ответам она еще и общественная.

А что конфиг кажет и его сброс на дефолт?
Такое чувство что SFP сконфигурированы или в стэк или в кольцо или в еще какую фигню типо агрегации которая непонимает обычного линка.

В сети на 2000 пользователей, 50 серверов, 3 провайдерам и 20 филиалов одного шлюза не достаточно.
Там целая серверная должна ядром сети рулить потому как такой трафик в одиночку ни одна железка не переварит, да и если таки на нее все засунуть - это будет конфиг на туеву кучу страниц

MS Excel умеет в сортировку

Потому что свободные белые V4 давно закончились, новые не выдают, то что сейчас есть на рынке - перепродажи от одного провайдера другому.
Чтобы эту покупку окупить их и перепродают желающим клиентам, остальным, для сидения в одноглазниках достаточно и NAT.
Какие-то провайдеры, в свое время успели закупиться впрок и у них еще осталось достаточно адресов на клиентов, но по мере израсходывания, также будут потиху переводить на NAT.
Ну и как выше писали в плане пограничной инфраструктуры это также различается

Почитайте про проигранную войну РКН и телеги.
У приложений телеграмма встроенная экосистема обхода блокировок через различные прокси и адреса. Забанят один маршрут, он найдет другой

А зацепиться по COM и через консоль сбить не вариант?