Юрий MikroTik

Mangle +Route Table

В сторону добавления маршрутов или маршрута по умолчанию

Ставим виртуальный Cloud Hosted Router и заводим оператора через коммутатор по влан, а от chr обратно vlan на коммутатор в локальную сеть.

RB5009 поддерживает контейнеры
Можно попробовать через него

Норм, но если с ними нет опыта, то лучше UniFi AX.

СХД сделан Bond обоих портов

И коммутаторы неуправляемые.
Какой тип Bound используется?
Отключит Bound и проверить без него.
Коммутаторы должны быть управляемыми и с двух сторон делается LACP

L7 на микротике почти ничего не умеет, ибо микротик это маршрутизатор, а интернет почти весь шифрованный, по этому будет работать кое как.
Для этого вам нужен NGFW
По этому предлагаю ограничить QoS до 1Мбит на пользователя при работе через модем. Либо разрешать через модем только нужные ресурсы.

Получить шлюз скриптом попробуй взять за основу

По инструкции все подобного объяснено.
Нужно проверить:
1. Точно белый ip?
2. Точно указан входящий порт?
3. Нет запретов в фаере?

Через Mangle и Routing Table

Cap lite не будет работать вместе с AX. То есть нужно все точки брать AX.
Для ыНтерпрайз авторизации микрот подходит, но AX так же может нахватать глюков (на сегодняшний день)

Если есть сомнения - для Wi-Fi брать UniFi, если есть желание настроить, то MikroTik AX и неделю изучения.
Для информации:
UniFi EAP NPS
MikroTik EAP NPS

Routing > Tables

Такое невозможно, маркировка работает только на пакеты и соединения

interface lte settings set sim-slot=down

Скриптом опрашивать параметры сети и им же строить логику переключения

Net Install?
Смотря какая нагрузка, IPsec и тд. Вполне может подойти rb4011

Можно объединить, соединить каждый с каждым. Все запихать в backbone и трафик будет ходить напрямую