Юрий MikroTik

Если это проявляется только на определённых Huawei, значит проблема в них.

Из описания не понятна задача.
Если повесить на сам микрот, то в ip address вешаем на интерфейс от провайдера.
Ip route указываем шлюз провайдера

Если эти белые адреса нужно пустить дальше в сеть, то создаём vlan, который делаем аксесс на порт оператора и далее на этот влан вешаем ip на самом микроте или этот же влан пускаем дальше в сеть, где используем с белым ip

Смотрим ip на пк1 и пк2
Запускаем сервер на каком-то из них
Со второго подключаемся к серверу по ip

Mangle +Route Table

В сторону добавления маршрутов или маршрута по умолчанию

Ставим виртуальный Cloud Hosted Router и заводим оператора через коммутатор по влан, а от chr обратно vlan на коммутатор в локальную сеть.

Норм, но если с ними нет опыта, то лучше UniFi AX.

СХД сделан Bond обоих портов

И коммутаторы неуправляемые.
Какой тип Bound используется?
Отключит Bound и проверить без него.
Коммутаторы должны быть управляемыми и с двух сторон делается LACP

L7 на микротике почти ничего не умеет, ибо микротик это маршрутизатор, а интернет почти весь шифрованный, по этому будет работать кое как.
Для этого вам нужен NGFW
По этому предлагаю ограничить QoS до 1Мбит на пользователя при работе через модем. Либо разрешать через модем только нужные ресурсы.

Получить шлюз скриптом попробуй взять за основу

По инструкции все подобного объяснено.
Нужно проверить:
1. Точно белый ip?
2. Точно указан входящий порт?
3. Нет запретов в фаере?

Через Mangle и Routing Table

Cap lite не будет работать вместе с AX. То есть нужно все точки брать AX.
Для ыНтерпрайз авторизации микрот подходит, но AX так же может нахватать глюков (на сегодняшний день)

Если есть сомнения - для Wi-Fi брать UniFi, если есть желание настроить, то MikroTik AX и неделю изучения.
Для информации:
UniFi EAP NPS
MikroTik EAP NPS

Routing > Tables