В просто не греется, можно настроить политики сна, винда будет почти всегда спать есть ее не трогать. Есть фотошопить и монтировать видео то будет греться. Я выруливаю на whisky+wine.
Другой вопрос, ты уверен что тебе подойдет Windows 11 arm?
Публикуем ресурсы сразу на двух провайдерах (NAT), берем VPS, поднимаем nginx, настраиваем таймауты когда nginx должен переключиться на ресурсы опубликованные на втором провайдере. VPN не нужен (есть у тебя белые адреса от провайдеров).
PMG - неплохая идея, будет аккумулировать на себе входящие пока в офисе не будет интернета, но это не обязательно если у тебя уже два провайдера, то можно прописать MX сразу для двух внешних адресов.
yourfatherinlaw, Микротику нужен свой сертификат, не важно кем он будет выпущен, гдавное что бы ПК ему доверял, правильнее конечно что бы этот сертификат был выпущен твом CA. Так же на микротике должен быть сертификат самого CA или SBCA (если такой есть) которым он будет проверять сертификаты клиентов. Какой сертификат будет использовать клиент это уже ты решаеш, можеш использовать сертификат клиента, а можеш сертификат ПК. Правильнее конечно сертификат клиента, он устанавливается в профиль пользователя и доступен только этому клиенту. Если использовать сертификат ПК то все пользователи смогут его использовать и соответственно подключаться к VPN.
Бесплатно делай через какой-то месенджер типа telegram. Но для лучшей работы пользователю надо будет подписаться на твоего бота и добавить в белый список акаунт от которого ты делаеш рассылки.
TP-Link TL-SG108E V6 нормальный выбор, в его же инструкции написано как конфигурировать vlan. Сложнее найти роутер который на wan порту работает с vlan что бы реализовать вашу схему. Микротик точно так может.
Может у это ФСТЭК есть и список оборудования который они рекомендуют-требуют?