AntHTML

Либо платформы MTK c докером либо одноплатник в конфигурации router-on-a-stick

Если для паранойи недостаточно защиты одного vpn-криптопротокола, то обычно ничто не межает прибегнуть к инкапсуляции. т.е. пускать через тунель zerotier не сырой трафик а OVPN уже между локальными ip тунеля

Роутер точно не перенастраивали? По кабелю должен подключаться и открывать страницу, https://192.168.0.1/ or https://192.168.1.1/, желательно в этот момент отключиться от всех сетей. Ну и проверить что на сетевой карте установлен режим автоматического получения IP, или попробывать назначить ноуту на проводную сеть IP вручную 192.168.0.10 или 192.168.1.10 и попробывать подключиться тогда

А если попробывать по классике веба? DNS по roudrobin на пару просто балансировщиков того же ngnx или chr, а с него уже по ip на chr-ы для расшифровки, ну а chr-ы тем же ansible кластеризовать.

Если нужна тупо локалка для игрушек, то поставить готовый Logmain Hamachi и не нужны никакие хостинги с Wireguard.

1. CRS326 - свич, с возможностью фильтрации и легкого NATa, от того что Вы написали он загнется.
2. Вполне норм, по практике если в домене <50-70 юзеров, то вреда от домена больше чем пользы, т.к. большинство плюшек домена нормально не развернешь - тупо не хватит юзеров чтоб построить вменяемую иерархию каталогов и написать многолюдные ГПО
3. разбираться что конкретно тормозит, далеко не факт что сеть и маршрутизация
4. WI-FI да, уводить в отдельную сеть

По задачам:
1. AD только если планируете сильно рости
2. ВПН отдельной железкой или виртуалкой

Все будет зависить от того какой конкретно уровень централизации Вы хотите и сколько готовы на это потратить.
В одной базе 1С работают если нужен онлайн доступ ко всем данным, или нет денег/возможности/желания поднимать на каждой точке базу, а выгоднее всех держать в одной. Если устраиват обмен раз/два в смену, то можно и "работает не трожь".
С LED, ну поднимайте свой L2TP, настраивайте маршрутизацию так чтоб что Вам нужно уходило в тунель, что не нужно во внешку.
А так можно начать заморачиваться с резервированием каналов связи и т.д. но это выгодно только тогда когда нужно иметь онлайн доступ ко всем данным, в остальных случаях локально-распределенной базы вполне достаточно.

Поднять с ISP2_GW01 встречный L2TP до ISP1_GW02 и метриками разбросать приоритеты

Из ноута 55.3 пингануть 55.2
если ответит, то написать в ноуте
route add 192.168.1.0 mask 255.255.255.0 192.168.55.2
У вас шлюзом из подсети 55.0 в подсеть 1.0 является 55.2, а не 55.1
ну и на 55.2 обратный маскарад не забыть