AntHTML

РТК не будет заморачиваться подключением 10, а тем более 1 абонента к PON сети.
PON сети должны строиться микрорайонами, иначе в них глюков не оберешься.
1 куст = 64 абонента, на ONU минимум 4 куста - чтобы это нормально работало и окупалось.
Поэтому тут вариант только как писали выше: самое простое искать жильцов кто подключится к РТК и бросит вам мост, или на крайняк перетереть с техниками РТК чтоб подключили Вас через чердак, но с РТК сильно врядли такое прокатит потому как это неповоротливая и непробиваемая махина, и +1-10 лишних абонентов к имеющимся полмилиарда совершенно никакой погоды не сделает

Схема абсолютно верная и рабочая.
в небольшой сети пропускной способности гигабита для нее хватит с запасом.
Основной загрузчик - как всегда - сервер бэкапов, соответственно нужно создать расписание бэкапов под моменты минимальной нагрузки сети.
Микрот с таким перевариванием вполне справится, т.к. через него будет бежать только межвланный траффик.
VLAN 17 лучше подключить напрямую к микротику иначе у вас Астериск бэкапится по пути L2.2-L2.1-RB-L2.1-L2.2.
Либо в идеале между L2.2 и VLAN17 поставить еще микрот и настроить его как резервный маршрутизатор, все что не имеет выхода в интернет гнать через него, в таком случае даже при обрыве оптики сетка не развалится, а первый микрот будет варить практически только WAN-траффик.
Ну или на WAN поставить керио, а на сервер бэкапа микрот.

Чем не устраивает Start на входе?
Поставить Giga III в щиток ведущим, от него кабелем в первую комнату Start (в режиме моста), во вторую комнату цепляйте свою Xiaomi также мостом по проводу от гиги, все стационарное желательно по проводу или от гиги или на худой конец от старта.
Да и зачем вам по маршрутизатору в каждой комнате?
По опыту даже самые сложные планировки среднестатистических квартир прекрасно покрываются одной - двумя точками доступа, 3 это уже на хороший котедж.

- 130 хостов в одноранговой сети - ну Вы даете, при 50ти уже целесообразно вланить, иначе хорошо если 70% вашего гигабита это udp-штормы.
- Сеть обязательно резать как минимум на: административную, производственную, серверную. Можно имеющимся микротом если встянет по производительности, если нет - докупить еще пару.
- Шары на >20 клиентов только парольные иначе задолбетесь искать кто где нагадил.
- IP в DHCP, DHCP в MAC и на тех же микротах в iptables, там это одна из стандартных функций.
- В производственной сети зарезать все кроме нужных ресурсов, все шары только на серверах.

А не лучше ли было бы перейти на Гугл Таблицы, у них групповая работа поприличней организована чем у файлового варианта экселя, и не придется никакие VPNы строить?
Ну а так самое простое это Hamachi, либо VPN на шлюзах филиалов.