Юрий MikroTik

Никак, это IP провайдера, а выходить со своим IP с разных провайдеров это нужно BGP делать

Если прошивка очень древняя, то эксплоит winbox поможет найти пароль

Protect можешь посмотреть под админом? Сколько секунд нужно держать сброс и сбросить.

Путь Simple:
1. Делаем QoS на весь канал
2. Делаем дочерние правила на каждый ПК
3. Ставшуюся скорость отдаем остальным

Путь Tree:
1. Маркируем через Mangle нужный трафик
2. Создаем дерево очередей

1. Подключаем шаблон микрота
2. Снимаем все метрики
3. Отключаем обнаружение
4. Отключаем лишние данные
5. Остается только eth1

Копать в сторону 1 bridge интерфейса, а на нем нужные вланы.
НЕ ДОЛЖНО быть более 1 бриджа на устройстве в нормальной конфигурации.

Растягивание L2 это не правильное планирование всего что можно.

Но если очень хочется:
Меняем /24 на /22
Тем самым каждая локация становится со своей /24, но /22 домене
Блокируем DHCP между сетями

EoIP подымаем между Lo интерфейсами OSPF и бриджуем в сеть.

По такой схеме EoIP работает поверх wireguard +маршрутизация Lo интерфейсов отрабатывает как нужно.

Всякие клауфлаеры на пуле одинаковых IP находятся миллионы сайтов. Микрот резолвит в IP и блочит именно по IP

Эту проблему решит (но это не точно) только NGFW с ssl декриптом, чтобы заглядывать в заголовки.
Нечто подобное можно сделать на микроте, но вряд-ли будет работать.

Читаем на порту Max L2 MTU и ставим не более этого значения

По примеру из статьи: Получить IP и шлюз на DHCP MikroTik

:local eth bridge-LAN;

local result [/ip address get value-name=address [find interface=$eth]];
local ethip [:pick $result 0 [:find $result "/"]];

1. Netinstall
2. Настройка заново
3. Просить сменить IP

Чем так ужасен впн на виндоусе что надо делать отдельную виртуалку для подключения к серваку?

Тем что его не умеют защищать и без обновлений и прямых рук он дырявый.
Взломали винду - поимели всю сеть.
Отдельный шлюз все же будет доп.бастионом

1. Находим все сетевое оборудование
2. Если это роутеры/точки доступа - сбрасываем в режим AP/switch или отключаем DHCP
3. Меняем шлюз на входном маршрутизаторе, чтобы при падении связи можно было явно сказать что шлюз поменялся.
4. Попробовать прописать статику на ПК, есть вероятность работы чужого DHCP (п2.)

Если сравнивать теплое с мягким, то CHR мягкий, а debian/ubuntu/etc теплый.

CHR запускается за секунды, весит образ 64Мб, быстро переносится и быстро восстанавливается из бэкапов.
С тем же pfSense замучаешься ждать его запуска.