Юрий MikroTik

1. Обновить до последней Long-term
2. lifetime= уменьшить

Скорее всего на район приходит NГбит, и утилизируют эту скорость много абонентов

Если дома хостинг, то и виртуализация есть. Ставь MikroTik CHR, он же Cloud Hosted Router, активируй триал и пользуйся бесплатно пока не обновишь. Это будет дешевле покупки хорошей железки.
Инструкция как поставить CHR

Если речь про EAP, то по ссылке описание как поднять NPS и сделать авторизацию по доменным данным

Стрелочка вниз и откроются еще пункты меню

Если с серого на белый, то все должно работать в рамках NAT

Обновление прошивки LTE модема всегда лотерея, напишите в техподдержку MikroTik, предоставят ссылку для отката прошивки

Только переход на h265 и урезание потока. Микротик тут может только приоритетами управлять в QoS

IKE2 решает эту проблему, либо переход на SSTP

1. Создать lo интерфейс
2. Сделать на него маршрут

Больше утечек не будет

На MikroTik нужно создать lo интерфейс и накинуть на него маршрут до сети регистратора
Так же в NAT исключить натирование до этой сети

Если у вас устройство с двойной загрузкой, всегда используйте RouterOS вместо SwOS
Так как SwOS ничего, кроме WEB интерфейса не поддерживает, к тому же в нем нельзя настроить даже адрес шлюза
SwOS годится только для простой плоской сети

На данный момент помогает переход на SSTP
В случае с филиальными VPN, настраивайте несколько типов туннелей и динамическую маршрутизацию, так если какой либо протокол заблокируют, трафик пойдет по запасному

Нужно смотреть сторону MikroTik и сам конфиг.
Подозреваю, что Tunnelblick как-то по другому работает с сертификатом.
Сертификат в конфиге присутствует?

Нужно прописать маршруты на всех трех участниках обмена.
Какие сети за клиентами А и В?

Есть модем HiLink, то выдает вида 192.168.8.1
Если ppp (стик) то на ppp интерфейсе появится IP адрес

Нужна именованная таблица маршрутизации, чтобы пакет уходил через тот интерфейс, откуда пришел.