Юрий MikroTik

Слишком сильное шифрование запрошено. Винда по умолчанию AES128 хочет. Чтобы усилить безопасность, нужно в винде в совйствах IPSec (которые черт знает где закопаны, добраться с трудом) отключить AES128 и включить AES256.

Вот так вот работает:
/ip ipsec proposal
add auth-algorithms=sha256,sha1 enc-algorithms=\
aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm \
lifetime=6h name="Roadwarrior proposal" pfs-group=none

Вот так вот может работать, но сначала нужно на каждой винде покрутить свойства IPSec
/ip ipsec proposal
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm lifetime=6h name=\
"Roadwarrior hardened proposal"

ну добавь их вручную.. в DHCP разделе

Если сервер и остальные устройства в одной подсети, то скорость линка до роутера влияет только на доступ в интернет.
Если устройства в разных подсетях, то скорость линка до роутера будет узким местом.

Ну и вопрос как именно настроена агрегация, какая политика балансировки установлена и на сервере и на коммутаторе.

Сеть в клубах клиентам настраиваю часто.

Для Вашего случая вполне подойдёт любой неуправляемый коммутатор TP-Link на 16 портов (если не потребуется ещё, скажем, видеонаблюдение делать), а в качестве роутера - hEX либо hAP ac2. На скоростях до 100 Мбит/с выдержит большое количество очередей (о них позже).
Сами эти роутеры вывозят реальную скорость до гигабита, но не в случае очередей трафика.
Если скорость уже 200-300 Мбит/с, то лучше выбирать RB4011, он помощнее.

Предложенный в комментах RB5009 на мой взгляд бессмысленное приобретение для 12 компов. Из пушки да по одному воробью.

Теперь про очереди. В онлайн-играх важно, чтобы игровой трафик получал приоритет. При игре по локальной сети обычно никаких проблем не бывает, но при игре с игроком за пределами клуба можем столкнуться с проблемой потерь пакетов в случае загруженного канала. Решаю обычно следующим образом - выделяем несколько типов трафика:
1. Игровой - в него входит собственно игровой трафик, голосовой трафик, и icmp запрос-ответ (в народе - пинг). Обычно не более 2-3 Мбит/с в сумме.
2. Трафик обновления игр (когда при запуске клиент хочет обновиться).
3. Всё остальное, что не вошло в два предыдущие - веб-серфинг, обновление Windows, прочее.
4. Трафик от гостевого Wi-Fi.

И всё это распределяем по приоритетам прямо по этому списку. То есть игровой трафик получает высший приоритет, и игровые пакеты не теряются даже при загруженном канале; обновление клиентов получают приоритет перед остальными типами трафика (нам нужно, чтобы клиент обновился как можно быстрее), но не в ущерб игровому трафику; веб и обновления винды - если останется свободный канал; гостевой - если останется свободный канал после трёх предыдущих.

Получается два дерева очередей - на загрузку и на выгрузку.

Ещё пара слов про коммутаторы. В данном случае не вижу смысла брать ни CRS326, ни CSS326, они оба избыточны в данном кейсе. Если же есть желание получать подробную информацию о трафике на каждом порту, то, конечно, предпочтение за CRS326. Если такого желания нет, то достаточно тупого 16-портового надёжного коммутатора.