AntHTML

1. Для чего вам шифрование в таком офисе?
2. Если в качестве чисто точек доступа то лучше не ас2 а cAP ac
3. Думаю в вашем случае хватило бы в голову RB3011UiAS-RM, а остальное на L2 свичах
4. Нужно четко определиться с тем что хочется видеть в сети и исходя из этого уже делать выбор с оборудованием и по.

По вашей классификации:
1VM - сам шлюз выносится на аппаратную железку microtik, tplink, cisco, управление и биллинг с 4VM
2VM - в принципе норм, только фокс будет в терминале или в шаре? В эту машину нужно докупить и пробросить отдельный SSD под базы
3VM - делать на линуксе - избавление от каспера, сетевых шняг, пиратского масдая и прочей малвари (ну это при условии что 3VM не задушит 2VM по оперативе, которой для 3VM у вас пшик)
4VM - оставить на старом сервере, добавить если возможно еще пару гигов оперативы и роль бэкап-сервера для первого

из описания:
у 10 - каждый винт клонируется на второй винт и над ними 0 массив
у 01 - клонируется сам массив на второй массив
в принципе на массиве 2х2 большой разницы не заметно, а вот на более емких разница растет в пользу 10

1. Запретить логин на роутер с WAN и GUEST интерфейсов
2. Если можно поменять логин админа на что-то другое, неблагозвучное
3. Поменять пароль на посложнее
4. Если роутер умеет - задать диапазон IP/MAC с которых разрешено логиниться
5. Слить бэкап настроек, чтоб в случае проблемы: хардресет>залитьбэкап>перезагрузить

На 4 магазина хватит и Розницы с настроненными РБДб если вам по сути надо только перемещения товаров и сбор отчетов за месяц.
Если необходимо в онлайне мониторить остатки и движения - к примеру отгружать на интернет-магазин реальное наличие товаров и заказы/брони обратно, то на таком этапе, лучше подтянуть качество инэта и подключить всех по RDP/WEB.
Если планируется расширение сети и >10 магазинов то в головной офис лучше ставить УТ и к ней стандартными средствами привязывать магазинные Розницы

была раньше программка Shadow User после ее установки система при каждой перезагрузке возвращалась в состояние "на момент установки", все файлы и настройки сохраненные вне разрешенных папок удалялись.
Мы ее ставили в техникуме и школах для защиты от "мелких кулхацкеров" было эффективно.

Ни знаю правда реалий Ростелекома, но в некотором ключе вопрос может быть вполне нормальным.
Раз у них указано что тип подключения FTTH, то там по сути все аналогично медному Ethernet-у и на стороне клиента может быть как свич, роутер, медиаконвертер так и оптическая сетевая, смотря что там наваяли местные подключаторы.
А вы попали на краевую или вообще федеральную ТП, где о местных реалиях осведомлены только тем что указано в карточке абонента, вот и пытаются выяснить что ж там на самом деле намутили и как оно работает.

200м витухой и по улице, без повторителей это сильно, уж лучше поставьте радиомост будет и стабильней и скорость до 25 можно отжать.
А так тут гадание на кофейной гуще и решение можно получить только опытным путем. Т.к. крайне мало оборудования может работать на таких расстояниях и если ваш медиаконвертер к примеру его худо-бедно выдерживает, то пара уже может мешать друг другу помехами и L2 свитч, для создания VLAN туннелей, тоже может не пробить такое расстояние.
Так что тут стабильных и бескомпромисных/безотказных 3 варианта:
1. Радиомост - пара уличных точек/маршрутизаторов - при прямой видимости самый лучший вариант
2. Всетаки заморочиться и протянуть эти 200м волокном чтобы поставить медяки уже на месте
3. Поставить пару VDSL модемов - стабильная сеть по одной паре до 2км

Что конкретно нужно узнать, чтобы понять, как организовать сеть?

Полностью все данные: кол-во клиентов удаленного офиса, кол-во клиентов сидящих в желтопроге, колво клиентов шары, средний и пиковый трафик шары. требования к безопасности, защищенности и безотказности соединения.

С помощью каких аппаратных каналов? Достаточно ли будет средствами стандартного Интернета + VPN, либо надо арендовать линии связи?

В зависимости от результатов расчета по первому пункту - может хватить хватить и простого VPN, может и понадобиться арендный канал. Все нужно прорабатывать на месте через экономические/организационные/бюрократические реалии.

Какие технологии наиболее подходят для реализации? Слышал про OpenVPN, может еще что-то есть?

В зависимости от результатов первых двух пунктов: от простого проброса через Хамачи, до влана по выделенному волокну.

Какова будет топология? Нужно ли будет (например, при использовании OpenVPN) в сети филиала ставить собственный сервер или все будет работать на сервере головного офиса?

Опять же в зависимости от реалий, если там будет 3-5 клиентов то выдержит и простой OpenVPN даже на модеме, если планируется мощная сеть на >20 клиентов, то нужно делать местную клиент-серверную инфраструктуру и обмен между филиалами на на уровне серверов.

Ну к проектированию сети с такими вопросами не подходят.
1. Всегда начинают с уровня L1: берут копию плана здания и на ней рисуют трассы utp, параллельно рассчитывая укладываемся ли мы в допустимые 100м и где нам удобно ставить кросовые шкафы и сколько можно сэкономить расположив/разбив кроссы в других местах.
2. В шкафы ставите L2 свитчи требуемой емкости, бесперебойники, Voip-шлюзы, poe-инжекторы и тд.
3. Собираете все шкафы и серверную в кольцо или звезду (что у вас там по плану больше подойдет и необходимо)
4. В серверную ставите желательно пару L3 для агрегации и резервирования. Можно даже малопортовый или вообще софтовый вынеся серваки на отдельный свич доступа
5. Разбиваете все по VLANам - камеры отдельно, voip отдельно, wlan, компы опять же согласно задач/безопасности
6. Собственно мутите на L2-3 и DHCP маршрутизацию, управление и защиты всего это барахла

На пару json от IoT выдержит любая точка доступа, тут главно разнести сеть iot и сеть pc по разным приемникам и каналам, иначе если контроллер поделит канал на все >40 устройств, то на ноутбуке бы больше 1 mb/s врятли получите.
Ну и esp-шки не держать постоянно в сети, а сконнектилась-обменялась-отвалилась, ну и разнести это по времени немного.

Значит что-то мешает телеку видеть сеть, смотрите настройки маршрутизации. Вполне могло быть что кого-то из них занесло в гостевую сеть или один получил от роутера DHCP адрес, а у второго забита статика со старыми параметрами.

Хм, странно, вроде все должно нормально отдавать. Попробуйте по торрентам посмотреть, может просто сам яндекс зарезает свой канал.

Толку от такого сайта 0,0001% он сработает только в тех заведениях где админы настолько тупые что выкладывают в гостевую сеть обычный примитивный роутер, в нормальных кафешках пароли раздает radius-сервер: они сессионные (на каждом чеке свой пароль), по одному паролю разрешено подключать только одно устройство (второе не пройдет авторизацию), пароль живет определенное время (не более суток), тот кто первым получил пароль (в момент получения был сфоткан регистрирующей камерой наблюдения) будет нести ответственность за все действия из под данного аккаунта

Мда, с такими делами, да еще и названием свитчей сплитерами, вы будете крайне долго добиваться цели без нормального админа или хотя бы интегратора.
Пока вопросы только следующие:
1. Полная конфигурация железа и примерного списка задач на сервер 1
2. модели всего имеющегося сетевого оборудования (свитчи, точки)
3. Нормальную (полную) карту сети, не в паинте, а в visio, с указанием названий сетевого оборудования и куда подключен КАЖДЫЙ (а не n,m) компьютер
4. для чего необходимо поддерживать связь с чужой сетью если к друг другу никто не ходит
5. расшифровка типа и назначения беспроводного соединения, возможность замены на проводное
6. Бюджет на реализацию проекта
7. Полная характеристика интернет канала: тип соединения, upstream, downstream, возможность резервации, перспективы перехода / улучшения

В Asus rt-ac68u необходимо настроить мартшрут из локальной сети в сеть wan. Но обычно к модему доступ не нужен, т.к. в бридже он по сути выполняет только функцию конвертера интерфейсов, а все рулится на роутере.

А чего все последнее время ведутся на модный Wi-Fi? Данная технология не предусматривает гарантированной полосы пропускания, и чем больше конкурентов (соседей с точками, устройств в вашей сети) тем хуже ее качество. Wi-Fi создан для удобства мобильных устройств: ноутбуки, телефоны. Телек - стационарное устройство, вы же с ним не будете по квартире бегать, так поставьте его в уголке комнаты и подключите по кабелю, и у вас на любом роутере не будет никаких глюков, и не появится даже когда начнется война с соседями из-за того что вы поставили более мощный роутер и он теперь глушит их сигнал. Я за подключение стационарной техники стационарными линиями связи.