AntHTML

Да, все верно, одна из распространенных конфигураций
Оба канала приходят по VPN, VLAN, PPP, MPLS и т.п. тунелям, роутер их и разруливает
Если во втором офисе L2 коммутатор - то что-то простое типо VLAN, MPLS
Если L3, то могут и роутерные протоколы использоваться

А роутер включен в конфигурации Router-on-stick - когда по одному проводу гонится все что нужно переварить и туда и обратно

Самое главное - декомпозировать задачу на разделы
1. Кабельная система СКС для рабочих мест - это должно быть построено до перезда. Как писал Komrus "не менее 1 2хRJ45 на 3-4 м2, не менее 3х розеток на кабинет". И сводится это все должно в нормальный коммутационный узел, а не по свичу в кабинет. Если от точки до серверной <90м то тянем туда, или делаем по середине 3 этажа 2 коммутационных - чтобы туда свести все кабло.
2. Подсистема WLAN - на плане здания, а также очень желательно с каким либо радиоанализом набрасываем расположение точек доступа для лучшего/полного поркрытия. После чего рисуем кабло от точек до отдельных патчпанелей в коммутационной, после чего рисуем/собираем отдельную активку для обслуживания этой подсети wifi (коммутаторы, контроллеры, возможно шлюзы/маршрутизаторы)
3. Остальные *oIP подсистемы: видеонаблюдение, СКУД, АСКУЭ, ОПС и т.д. аналогично п.2
4. Проектируем уровень доступа L2 - коммутаторы доступа в серверной для компов/принтеров/телефонов - L2 гигабитные 48портовые, желательно с 10g аплинками - по планируемому на ближайшие лет 3-5 количеству устройств +10-15% запаса
5. Проектируем L3 ядро - на 500+ это минимум 4-6 хороших маршрутизаторов с поддержкой резервирования (2 интернет, 2 vpn, 2 межсетевых экранов(можно заменить на L3 коммутаторы) )
6. Проектируем L4 и выше - обязательно AD и полное разделение сетей и сервисов.

Что значит оффлайн страницу?
То что сохранено из кэша браузера, то сохраняется из кэша браузера и официально сайту не видно (псевдо телеметрию гугла в расчет не берем)
PS: Открою секрет. Страница в большинстве случаев скачивается из интернета в папку %temp% и уже оттуда показывается в браузере.

На уровне сети сведения об учетке не содержатся, на уровне драйверов принтера - обычно передаются, чтобы на экране видеть от кого пришло задание и в некоторые журналы внутри принтера тоже попадает, также в таких мфушках может учавствовать в функционале "безопасной печати".
Но причины задержек нужно копать в другом, как сказал Ziptar вполне возможно что гдето что-то затрагивают GPO или ограниченная пользовательская учетка (попробывать закинуть доменного пользователя в локалиную группу администраторы, попробывать из под другой доменной учетки), также покапать насчет версий драйверов и протоколов PS/PCL, так-же не исключаю несколько последних обновлений Вынь10 попивших кровушки с печатью. А может и какой Стахановец подкидывает

Около 1000 гигабитных точек доступа Wi-fi
Порядка 60 48-портовых коммутаторов

Не проще ли скинуть такой проект интегратору под ключ?
Потому как на 1000 точек по любому нужно радиоанализ расчитывать.
А так Huawei как замена кошки, но опять же его проще через интеграторов протянуть как готовое настроенное решение.

Для начала выяснить точно ли ericsson в бридже, а то похоже что вы пытаетесь поднять ppp на ачере и он попеременно пытается отобрать ее у эриксона
PON терминал в бридже, с отключенным wifi - вообще тихая спокойная железка которая и не такое вывозит.

Скорее всего у провайдера криво настроена маршрутизация внутреннего трафика
Обращайтесь в поддержку с конкретной проблемой что не можеле зайти на белый IP x.x.x.x клиента вашего же провайдера, при этой с провайдера ууу заходите. Прикладываейте ping и tracert маршрута
Ну и друг пускай так же обратится к ним, что из их сети к нему не могут зайти.
Пускай передают сетевикам в разборку.

По КИИ нужно смотреть документацию и регламент на класс сети и с сетями какого класса ее можно стыковать.
Скорее либо вообще нельзя стыковать, либо через фаервол.
Во втором случае хорошей практикой будет в каждом сегменте поставить zabbix proxy, в отдельном сегменте сам zabbix сервер и чарез ГОСТ шлюз пробросить чисто порты с прокси на сервер.
Как писал RStarun поделия типо астра-виртуализации не сертифицированы по классу межсетевых экранов, а значит хосты с этими ОС не могут торчать двумя концами в разные сети, тем более в разные классы сетей.
PS: Обычно КИИ мониторится отдельными людьми, и по отдельным параметрам, в принципе ничего не мешает у админа повесить рядом 2 телевизора подключенных к разным сетям с двумя разными заббиксами.

Обычно в инструкции к тестерам пишут куда их можно включать и при каких режимах.
На некоторых есть конкретные предупреждения "Не включать в активную сеть"
Некоторые могут определять наличие линка, POE-питания, сигнала АТС и т.п.
Все зависит от алгоритмов и режимов работы конкретного тестера и его защит. Если с на порт прилетит высокое напряжение - оно может выжечь входные каскады порта. И наоборот если на "китайский" тестер, рассчитанный на 9В, во время звонка с АТС прилетит 60В то ему также может поплохеть.
Ethernet, по своей конструкции, более-менее защищен от большинства таких тестеров.

Очень легко может, и по умолчанию, по хорошему, и должен блокировать.
Если не оформлена услуга предоставления статического белого Ip-адреса - что на домашних тарифах все большая редкость
Так что в вопросе что случилось если в своей сети все норм, нужно обращаться к провайдеру.

Если для паранойи недостаточно защиты одного vpn-криптопротокола, то обычно ничто не межает прибегнуть к инкапсуляции. т.е. пускать через тунель zerotier не сырой трафик а OVPN уже между локальными ip тунеля

В сохо/десктопных ONU скорее всего нет - это изначально оборудование "для домохозяек" и там такие заморочки в 99% не нужны.
В операторских/стоечных IAD вполне может быть там обычно полноценный L2-L3 свич

PS: А смысл? большинство имеющегося в проде оборудования дает 2,5/1,2G на куст из 64 абонентов, поэтому и тарифов выше условного гигабита нет. А если вешать 1 абонента на порт, то проще сразу от свича голым езернетом гнать
Есть новый стандарт где wan порт 10/5G но пока он до нас дойдет и пока у провайдеров появится агрегация, ядро способная это переварить, появятся уже и модемы поддерживающие 2,5/5,10 LAN

0. Открывайте - никто не мешает.
1. Нужно тестировать, есть "профессиональное" оборудование приема 3/4g которое стабилизирует соединение
2. Тоже самое что и п.1
3. 1 точки достаточно, в клубах основная игра идет по локалке

1. Для такой маленькой сети не обязательно брать смарт-коммутаор, достаточно и обычного неуправляемого.
Про падения скорости - проверять, менять провода - они не качественные.
2. DHCP так и остается на маршрутизаторе, он незаметно для всей сети тянет хоть 250 устройств.
3. Да - между проводными устройствами весь трафик будет гулять внутри коммутатора, на wi-fi и интернет уходить через маршрутизатор
4. Вроде по количеству точек хватает и вашего 5 портовика, или планируется рост? Если замена только из-за "постоянно скорость портов падает с 1GB до 100MB" то это не в коммутаторе проблема