graf_Alibert

Исходите из идеи, что ПК сотрудников не имеют ценности. Сломался один, сел за другой, продолжил работу. При чем мало, что сел, но и получил все свои файлы, настройки и обои рабочего стола с котиками.
Всё ценное должно перемещаться при выключении на сервер.
В случае с виндой - это называется перемещаемые профили.
Исключение составляют специфичные данные специфичных программ, которые хранят свою работу напрямую на диске С. Вот с ними нужно отдельное решение, чтоб своевременно выгребать в серверную копию.
А вот уж серверные копии - должны быть защищены по всем негативным сценариям: выход из строя диска, ошибки файловой системы, легитимное уничтожение данных, отказ сервера целиком, шифрование злоумышленником с полным разрушеним всех данных, инфраструктуры и резервных копий. И тут я не ошибся - резервное копирование должно иметь защиту от уничтожения резервных копий.

Удобный и гибкий - Кинетик
Непривычный в настройке но супер гибкий - микротик

Выкинуть убогий роутер, воткнуть провайдера в ASA, организовать для торчащих наружу сервисов отдельный сегмент, а в идеале отдельный контекст, и настроить dnat как душе угодно. Веб сервисы лучше выпускать через реверс прокси(nginx) - не будет геморроя с портами и SSL.

Насколько я знаю и помню:

Дело было в Красноярске. У нас стали возникать проблемы с доступом одного клиента (аптеки) к БД краснояского филиала. Разборки привели к тому, что выяснилось, что у аптеки RFC1918-compliant адрес, но "союз меча и орала" (то есть все краснояские провайдеры) так договорились, что RFC1918-compliant адреса считали маршрутизируемыми! Внутри своих сетей ессно. А мы, как нормальные люди, глушили весь RFC1918-compliant трафик, пришедший извне.
Мы долго переписывались и скандалили, но все же добились того, что там как-то настроили, что на нас эта "перекраска" не распространялась...

Было это очень давно, больше десяти лет назад.

Поставить Kinetik на 2 провайдера. Он сам будет определять работающего провайдера Интернет и подключаться к нему. Все компьютеры в локальной сети всегда будут online.

Может все же пригласите специалиста, ваш уровень в сетях около нулевой.
Да и микротик - это не волшебная палочка, его правильная конфигурация гораздо сложнее бытовых китайских роутеров. А интернет мог работать в офисе по банальной причине, добрая душа раздала вайфай со своего телефона. Лучше берите пиво и выясняйте кто там "компьютерщик", после чего его поите за то что инет работал.

Вероятнее всего вам подойдёт клиент WinSCP

Zabbix плюс триггеры на изменение конфигурации оборудования.

Вариант, однозначно рабочий - микротик. Не знаю правда как с бюджетом - у всех свои понятия :)
Вариант, условно рабочий и предполагающий много знания и много траха - openwrt. Берется роутер, поддерживающий openwrt, туда шьется он соответтственно и настраивается.

Проблема в том, что вы пытаетесь добавить один и тот же физический интерфейс (enp42s0) к нескольким мостам одновременно, что невозможно. Сетевой интерфейс может быть членом только одного моста:
Создайте один мост (например, br0) и добавьте в него физический интерфейс enp42s0.
Создайте виртуальные интерфейсы (VLAN или macvlan) поверх моста br0 с нужными MAC-адресами.
Используйте эти виртуальные интерфейсы для создания PPPoE соединений.

auto enp42s0
iface enp42s0 inet manual

auto br0
iface br0 inet manual
    bridge_ports enp42s0
    bridge_stp off
    bridge_fd 0
    bridge_maxwait 0

auto macvlan0
iface macvlan0 inet manual
    pre-up ip link add link br0 macvlan0 type macvlan
    post-down ip link del macvlan0
    hwaddress e2:3f:26:5c:8d:45

auto macvlan1
iface macvlan1 inet manual
    pre-up ip link add link br0 macvlan1 type macvlan
    post-down ip link del macvlan1
    hwaddress e2:3f:26:5c:8d:44

auto macvlan2
iface macvlan2 inet manual
    pre-up ip link add link br0 macvlan2 type macvlan
    post-down ip link del macvlan2
    hwaddress e2:3f:26:5c:8d:43

Самый бюджетный вариант: металлическое ведро/таз/старая спутниковая тарелка с 4G модемом в фокусе/центре направленная на ближайшую вышку (приложение OpenSignal в помощь для поиска) на чердаке/под крышей. При этом модем подключен максимально коротким и качественным USB кабелем в роутер через стенку чердака. Можно и на вышку - тут уже есть варианты: если вышка длинная, то по USB сигнал будет быстро затухать и будет работать очень нестабильно. Поэтому либо рядом в коробку роутер ставить либо использовать активный USB удлинитель (с усилителем). И не забываем про грозозащиту, заземление и оптическую развязку с оборудованием в доме, если размещать на вышке. Реальный случай: спутниковая тарелка немногим меньше метра с простым модемом в сложных условиях посреди поля в степи позволила поймать 3G из 2G и даже выйти в инет.

Вариант чуть дороже: самодельная или покупная направленная 4G антенна и стандартными разъемами подключаемая к модему (модем должен быть максимально близко к антенне с максимально короткими проводами - опять же из-за затухания сигнала). Размещение аналогично - чердак, вышка. Не проверял.

И самый лучший вариант: направленная антенна со встроенным модемом/роутером - на выходе у неё стандартный эзернет разъем, который втыкается в роутер в доме. В таком варианте вполне можно до 90-95 мегабит получить посреди леса, при том что телефон выдавал в районе 15-20 мегабит. Например MikroTik SXT LTE kit.

Антенну надо подбирать под доступные частоты вашего сотового оператора - они есть разные. У разных операторов и даже вышек они могут отличаться. Смотрите какие у вас локально частоты доступны и при покупке антенны проверьте, что эта антенна поддерживает данные частоты.