dmb_1945

Как вариант - в скрипте дёргать zabbix_sender, который уже будет заталкивать в сервер пачку значений (ему можно передать файлик со списком).

Несколько сайтов на одном IP, которые резолвятся по serverName - это нормальный подход?

a как по вашему работают шаред–хостинги, у которых на одном ипе несколько сотен доменов/сайтов?

докер нужен там, где он нужен и когда он нужен. а не словили хайп, снесло кукушку, тулим его на каждый чих–пых.

по вашему описанию, вам даже впс не нужен – достаточно просто перенеси все сайты на один акаунт у одного хостера.
а для потренироваться отлично подходит локалхост или персональный впс.

Перед релизом хочется быть полностью готовым ко всему

Быть готовым ко всему невозможно даже теоретически!
Вы поставили заведомо невыполнимую цель

Стандартный чеклист по проверке основных типов угроз.
Если есть какие-то очень критичные места именно в вашем проекте - дополнительно их проверьте.
А что касается остального -
Безопасность это процесс!
Невозможно взять и сделать сайт безопасным.
Можно следить за безопасностью сайта и своевременно устранять наиболее критичные угрозы.

listen-on port 53 { 127.0.0.1; 10.2.0.9; };
вы слушаете только на внутреннем IP, поэтому DNS-сервер не доступен снаружи.

1. Получить возможность смотреть камеры через инет, с защитой от посторонних глаз

На первом роутере поднят L2TP сервер, коннект по VPN и просмотр камер. Есть вариант лучше или и так идеален?
Тут всё работает, мучает незавершенность решения.

решение завершено, не обязательно выпускать камеры в интернет напрямую.

3. Локалка должна быть общей - главный R1, второй только инет от R1 раздаёт и порты предоставляет, без маршрутизации как таковой.

если вы видите с маршрутизатора R1 Ваши IP-камеры, значит у вас все работает по уровню L2 и клиенты на портах будут отправлять пакеты на маршрутизатор, Вам остается: убрать маршруты на R2, настроить Wi-Fi:
1. Сделать репитер (это будет работать в том случае, если он видет Wi-Fi от R1)
2. В случае если зона покрытия Wi-Fi-R1 не затрагивает второе здание, тогда поднимайте Wi-Fi на R2 с таким же SSID, поднимите DHCP для Wi-Fi но в качестве шлюза по-умолчанию указывайте адрес R1. (Либо для попробовать для интерфейса Wi-Fi указать адрес DHCP-сервера R1/того, где развернут DHCP)
рекомендации в указанных пунктах надо проверить, умеет ли это делать микротик

Со вторым роутером проблема - как переписать конфиги, чтобы он все порты задействовал как свитч, при этом пускал в Wi-Fi инет без всякого NAT.

Натить у Вас должен R1, я могу ошибаться, но если вы соединили R1 и R2 проводом, то Вам останется только настроить в один VLAN/Bridge порты и у вас будет связь по L2. Самое банальное - это проверка ping любой камеры с R1 (как уже писал выше), если камера доступна

п.с. если где-то допустил неточность/неверность мышления, знающие люди поправьте, опыта не очень много

Судя по симптомам, это Path MTU Discovery Black Hole.
В Windows для VPN-подключений MTU по-умолчанию равен 1400, поэтому проблем с этим не возникает. В Router OS эта проблема решается достаточно легко:
1. Опытным путем меняя значение Max MTU в свойствах соответствующего подключения, нужно установить значение этого параметра при котором проблема исчезнет. Этот способ самый простой, однако не самый оптимальный и работает не во всех случаях.
2. В профиле PPP, который указан для вашего подключения выберите "yes" для параметра Change TCP MSS.

При этом создаются динамические правила в цепочке mangle фаервола, устанавливающие значения tcp-mss в syn-пакетах равным 1410, если оно больше. Сталкивался с ситуациями, когда 1410 оказывалось недостаточно. Можно скопировать эти динамические правила в mangle и изменяя параметры на меньшие, чем 1410 добиться решения проблемы. Чтобы Router OS не создавала эти динамические правила нужно в используемом профиле отключить "Change TCP MSS".
3. Способ, который работает во всех случаях связанных с PMTU Discovery Black Hole - добавление правила в mangle:

В поле src. address указываете вашу локальную подсеть, в out. interface - название вашего pptp-подключения.

Хочу не дорого и сердито перевести домашнюю сеть на гигабитные просторы.

Да запросто.
1. Докупить обычный неуправляемый гигабитный коммутатор.
2. Подключить его к LAN порту вашего роутера.
И все.

Возможно ли это сделать на данной железке?

Нет.

Возможно есть более дешевые варианты которые подходили бы под текущие требования?

Вот один из самых недорогих вариантов - https://market.yandex.ru/product/8345399?hid=91088...