Дмитрий Александров

1) В ip-firewall-Service ports в пункте sip порты корректные стоят? Какой таймаут стоит?
2) Какой таймаут сип регистрации стоит в телефоне?
3) Какой таймаут требует sip провайдер?

Что то вы мудрите слишком сильно. Тут сейчас будет количество людей= количеству вариантов, так же все сильно зависит от рассадки персонала\кабинетов\планировки кабинетов.
С моей колокольни и реалий рассадки я бы разделил так:
Как предпосыл, яб набрал побольше железа пусть и более дешевого.
1) все все все, что связанно с бухами в свою подсеть, на свой свитч. Т.е. компы\принтеры\сервер бухов.
2) отдельная сеть для прочих серверов которые юзают все или всё.
3) отдельная сеть для wifi, отдельно для видеонаблюдения.
4) отдельная сеть "прочая" где все остальные.
Между всем этим тупое разграничение правилами фаирвола или фаирволов в идеале(т.е. каждой сетью рулит своя железка, даже микротик).
Но опять же, это мой случай. У нас все бухи сидят на одном этаже в 3х соседних кабинетах как пример. Если у вас 1 кабинет на одном этаже , второй на 5 этажей выше а еще пара рандомно находится то тут однозначно вланы. Главное помнить что чем сложнее схема, особенно с вланами, тем сложнее потом будет это контролировать, искать проблемы, прокидывать, особенно если люди обслуживающие это меняются и особенно не документируют. В этом плане раздельные подсети гораздо проще.

Причин может быть масса и по всем фронтам.
1) Сам провайдер.
2) Перегруженность канала инета
3) Перегруженность локалки
4) Перегруженность wifi
5) Особенность настроек вашей wifi
6) Стандарт и расширения wifi точки и wifi на телефоне.
7) Правила фаирвола\мангл\ната\очередей.
8) Проблемы между абонентами вотсапа, провайдеров между ними.
9) Еще миллиард разных причин.

Тут есть пара моментов.
Первый установлен ли пакет ntp? В зависимости от ответа у вас будут чуть разные настройки и окошечки.
Если установлен то в "System-NTP Client" галку "Enabled", Mode unicast и серверы для примера любые из этих
Еще отдельно замечу что в некоторых случаях ntp трафик может блокировать провайдер, не сознательно чаще всего, сталкивался с таким когда железка huawei недокументированно блочила трафика.

:log info "ПревЕд!"
или
:log info "Переменная $var"

Попробуйте добавить букву s перед '...' чтобы было s'192.168.88.104:18287/auto-update'
Так же включите дебаг dhcp сервера и посмотрите что у него спрашивают и чем он отвечает.

С циской пока не попробуете не узнаете, а так можете просто взять cAP ac и капсманом подцепить ее к своему микроту существующему.

Задача реальна но смотреть придется не по доменам, а ip адресам. Смотрите сети\подсети выделенные для России, назначайте их в микротике на нужный шлюз. Все это есть в общем доступе, и да, таблица будет довольно большой.

Пожалуйста, можете страдать =) :
Роутер1:
типа тыкаем на "виртуальную подсеть"
/ip route add distance=1 dst-address=10.10.20.0/24 gateway=ваш-vpn-ip-роутер2
входящий трафик "типа виртуальной подсети" разворачиваем в реальную подсеть
/ip firewall nat add action=netmap chain=dstnat dst-address=10.10.10.0/24 to-addresses=10.10.3.0/24
исходящий трафик маскируем в типа "левую вируальную подсеть"
/ip firewall nat add action=netmap chain=srcnat src-address=10.10.3.0/24 out-interface=ваш-vpn-ip-роутер2 to-addresses=10.10.10.0/24

Роутер2:
/ip route add distance=1 dst-address=10.10.10.0/24 gateway=ваш-vpn-ip-роутер1
/ip firewall nat add action=netmap chain=dstnat dst-address=10.10.20.0/24 to-addresses=10.10.3.0/24
/ip firewall nat add action=netmap chain=srcnat src-address=10.10.3.0/24 out-interface=ваш-vpn-ip-роутер1 to-addresses=10.10.20.0/24

Работать будет, каждый роутер будет считать что общается с совершенно иной подсетью. На практике это колхоз и проще руки поотрывать тем кто не хочет привести в порядок свои подсети побив их на отдельные и по уму.

Это называется Hairpin NAT. По сути добавьте правило в маскарадинг еще одно.

Если я правильно понимаю то сертификат тут фигурирует как mitm для прокси провайдера? Кроме того обязательно условие чтобы все тачки жили с ip адресами провайдера? А вы хотите получить хоть какое то управление такой сетью?

Если так то можно организовать свой dhcp с выдачей списка адресов которые хочет провайдер. Могу конечно ошибаться в пути настройки но по идее правильно и должно заработать.
wan порт кидает в бридж со всеми остальными портами, фаирволом блочите udp\tcp связанные с dhcp сервером. Создаете пул с ip которые хочет провайдер. Создаете dhcp сервер с этим пулом на бридж. Довешиваете всякие нужные dhcp опции если надо, отдельные сети для ,скажем, внутренних серверов с шарами и т.д. Настраиваете правила фаирвола по блоку всего ненужного выхода на порт где живет провайдер. Настраиваете тиковский dns сервер, его тыкаете в провайдера а в локалку раздадите уже тиковский ip По итогу вы сможете рулить сетью уже на таком этапе, делать что хотите, блокировать, смотреть кто получил адреса и т.д.

Другой вариант это двойной nat сделать классически, на wan порту статикой адрес который хочет провайдер, нат, своя сервая сеть внутри и т.д.

С прокси тоже несколько вариантов.
Можно обвернуть все необходимые настройки прокси в pac файлы и раздавать их по dhcp. Можно не по dhcp а по доменному имени дефолтному. Плюсом является что получите множество настроек, на уровне dhcp можно будет рулить какому клиенту какой файлик сунуть.

Можно обвернуть в фаирволе все запросы на 80\443 порты в ip прокси провайдера.
Но если сертификат используется для mitm то в любом случае придется на каждой машинке руками 1 раз засунуть эти сертификаты.

Начать копать стоит именно с блока питания. Дельта, ну это такое. Посмотреть что на выходе в т.ч. при нагрузках,посмотреть пульсации опять же. Одни только пульсации могут ушатать что угодно.
Дальше стоит продиагностировать платы 450G, посмотреть что на них вылетает.
Еще возможно относительная влажность не подходящая.

Ситуация странная так то. Если массово начали дохнуть. Опять же если предположить что монтировалось и вводилось в эксплуатацию это примерно в одно время то и причина должна быть схожей, производитель ответил вам что все ок значит снова остаются БП.

Температуры можете попробовать сбить снижением частоты в настройках.

реверс прокси есть и возможен средствами микротика, но я чет слабо представляю колхоз чтобы оно заработало именно внутри локалки и одной подсети потому как придется задействовать nat. Прогуглите фразу mikrotik reverse proxy и пробуйте.
А так, лучше бы расположение морды поменяли, банально костылей меньше будет.

Еще как вариант можете попробовать банально сделать такой трюк:
в фаирфоле микрота создаете правило
-в поле dst address вписываете ip сервера 192.168.1.101
-в поле dst port порт сервера 80
-на вкладке action выбираете action redirect
-в поле to ports 101
-ну и поднимаете правило до нужного уровня
Заработает это если весь трафик пролетает через цп микрота а не его свитч, возможно придется это включить. Но лучше вариант если эти сервера откинете в отдельную подсеть.