Юрий MikroTik

Keenetik с Vless клиентом на борту
Либо Vless на MikroTik в контейнере

Смотреть в сторону MikroTik LTE
WiFi если на MikroTik, то CAPsMAN AX

Мой путь решения:
1. Поднять 2WAN (ЕСПД не включать в NAT)
2. Нужные хосты пускать с помощью PBR через нормальный интернет, все остальное по умолчанию в ЕСПД
3. Уволиться оттуда, ибо нельзя физически смешивать интернет с ЕСПД

В этом случае будет внутренняя адресация от ЕСПД.
Конечно будет идеально порезать на vlan, но не увидел управляемых коммутаторов.

Офис без белого ip это нонсенс, nat выше может блокировать и просто глючить. Просите белую статику.

Читаем как работает маршрутизация и понимаем, что никак. Управлять можно только подключенными напрямую маршрутами.

ttl и обращения на ресурсы, куда не может обращаться телефон, например обновления Windows палят раздачу.

Через netwatch на событие up/down сделать

:log info "ping up/down";

Зависит от коммутатора. Некоторые позволяют собрать lag на разных скоростях, но работать будет на одном интерфейсе.

Надо пробовать. Если не будет работать нормально - делать (R/M)STP.

При правильно настроеном 2WAN оба интерфейса будут пинговаться, будут работать пробросы и можно сделать PBR.

WiFi EAP
Для доменной авторизации по группе ПК - в один влан
Для группы пользователей в другой влан
Для остальных - в гостевой влан

Такой вопрос либо решать вместе с провайдером, ибо ему все равно делать гигабитный линк или lag.
Либо подключать другого, кто даст сразу гигабит.

Чем ниже частота, тем лучше прохождение сигнала.
Так же учитываются местные законы по мощности, которые зависят от частот.

Корпоративный VPN
При работе с радиусом можно сделать по логину и паролю

Если у вас нормально открывай фаервол, то из lan в wan должно работать.

Иначе собрать ip firewall address list
Создать лист bitrix и добавить туда адреса, они должны отрезолвиться.

Далее на фаерволе написать порвало на основе этого адрес листа.

1. Берём vds/vps
2. Ставим chr
3. Подымаем sstp server

Не забываем активировать триал и использовать валидный сертификат

Это делается средствами NGFW или локальным фаерволом на каждом ПК.
MikroTik не сможет отличить на уровне L7 приложение zoom от браузера.