hint000

Крутить траффик весь не обязательно, требуется просто заходить на веб-морду конкретной камеры

Вы сами ответили на свой вопрос. Просматриваете\записываете картинку с камеры - трафик идёт, не просматриваете и не записываете - трафик не идёт. Насколько толстый трафик - это в настройках каждой камеры.
Это если в первом приближении. Но есть нюанс. Некоторым владельцам камер пофиг, и они не отключили передачу картинки в китайское облако (которое часто даже не защищено, смотри кто хочет; но это я отклонился от темы). И надо ещё посмотреть, не получится ли так, что камеры будут через ваш VPN заливать картинки в китайские облака. Но вы можете файерволом закрыть им такую возможность.

И что ещё следует учесть при таком объёме устройств?

Если будет 10000 VPN-соединений, то на вашем устройстве нужен довольно мощный процессор. Например, ПК в качестве VPN-сервера.

Это не совсем нормально, но не страшно.
Возможно, в эти моменты что-то перекачивалось по сети активнее, чем обычно.

• Восстановление оригинального состояния системы при каждой загрузке
  
• ПО для компьютерного клуба или кафе?
  
• Возврат ПК к исходному состоянию при перезагрузке. Как найти аппаратное решение?
  

найдите раздел IPv4 routes
там найдите строчки, у которых Target 0.0.0.0/0 (должно быть две таких строчки - для модема и для кабеля);
Metric для кабельного интерфейса поставьте больше, чем Metric у модема.

соеденил я кабелем и микротик и хуавей, и мне вроде как нужно какойто роут прописать на хуавее

Не только на Huawei, но и на Mikrotik надо прописать. Давайте начнём с Mikrotik'а, допустим воткнули кабель в порт ether3;
в командной строке:

/interface bridge port remove [find interface="ether3"]
/ip address set address=192.168.100.254/24 interface=ether3
/ip route add dst-address=192.168.100.0/24 gateway=192.168.100.1

Микротик-то мы настроили, только это бесполезно, вот тут https://lan1.by/qa/8078/ пишут, что Huawei настолько тупой, что вообще не умеет статические маршруты в LAN. У меня нет Хуавея, чтобы проверить, приходится верить тому, что пишут.
Конечно, можно запилить NAT на Микротике, тогда клиенты с Микротика будут ходить в сеть Хуавея, а вот наоборот нет.
Варианты решения:
(1) (дорогой вариант) выкинуть Хуавей в мусорку, купить на замену роутер поумнее;
(1a) поискать, есть ли возможность прошить на Хуавей ddwrt; запороть при прошивке и всё равно выкинуть в мусорку;
(2) (дешевый вариант) сделать две одинаковые локальные сети, средствами Микротика запретить хождение DHCP в любую сторону между роутерами, сделать непересекающиеся диапазоны адресов на двух DHCP;
(3) (кризисный вариант - для сиюминутного решения) не менять адресацию, запилить на Микротике NAT один-в-один в обе стороны; как-то можно, но мне даже не хочется тратить пару минут на гугление этого варианта, от него рано или поздно какие-нибудь новые проблемы возникнут в администрировании.

Upd.: Кстати, есть ещё вариант.
(4) если в локалке за Хуавеем ситдят три с половиной пользователя, то можно пройти по всем и на каждом ПК руками прописать маршрут в локалку Микротика через шлюз-Микротик. В этом случае Хуавей может оставаться тупым и ничего не знать о другой локальной сети. Микротик надо настроить как я описал выше.
На винде пользователей:

route -p add 10.0.0.0 mask 255.255.255.0 192.168.100.254

Но если там сотня пользователей, то замучитесь каждому прописывать.

Поскольку правильный ответ (точная инструкция) уже есть, то мне остаётся:

Интересует даже не точная инструкция, а просто направление, куда двигаться, что изучить

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/...
Или даже так, ещё круче: https://www.opennet.ru/docs/RUS/iptables/

на первом Микротике первый порт вытащить из бриджа;
на бридже задать статический адрес из другой приватной сети;
поднять DHCP-сервер;
поднять NAT, чтобы ethernet1 выполнял роль WAN-интерфейса.

самый очевидный способ это седлать, отнормировать dword32 представление IP-адреса, - очевидно ошибочен

Не очевидно. Потому что нейросеть может решать разные задачи. Какую задачу будет решать ваша нейросеть - неизвестно. Для разных задач потребуются разные представления адреса.
В одном случае достаточно определить государство. В другом случае подойдёт ASN. В третьем случае окажется, что ни государство, ни ASN не релевантны, а хорошо подходит как раз тот вариант, который "очевидно ошибочен". В четвёртом случае - какое-то совсем необычное представление, которое никому даже не придёт в голову до тех пор, пока не озвучена задача.

Нет одного "правильного" варианта на все случаи.