nApoBo3

1. Переобжать. Проблемы с витой парой не обязательно будут проявляться в потере пакетов, может быть и так линк ап линк даун.
2. У mikrotik нет как такового wan порта, эту роль может выполнять любой порт. Попробовать на другом порту.

Потому, что есть "тыкеры", которые запомнили несколько кнопок. А есть специалисты которые знают, что в системе происходят и понимают какие должны быть кнопки.
Первые, шаг в лево шаг в право и все приехали, в разработке это "стэк оверфлоу разработчки", в эксплуатации "эникейщики".
Нужны и те и другие, но это несколько разного уровня вакансии. Для того, чтобы быстро отделить первых от вторых хорошо подходят теоретические вопросы.
Задавая чисто практические вопросы, вы можете попасть в "навыки" не специалиста и принять его за специалиста, аналогично, вы можете промахнуться мимо того, что специалист настраивал в последнее время и он вам на расположение кнопочек ответ дать не сможет.

802.1x, остальное обходится без существенных сложностей. Но внедрение 802.1x в сети задача не тривиальная.

Если вы в РФ, то по закону вы обязаны идентифицировать всех ваших абонентов. Для организации гостевой сети проще всего обратиться к оператору связи, они предоставляют услугу под ключ, что позволят выполнить требования закона.

Папки создаются не по отделам, а по функциям-ролям.
Можно создать отдельную папку на каждый отдел, поскольку пописать все функции-роли внутри отдела весьма затруднительно, но все папки используемые несколькими подразделениями делаются именно по функциональному принципу.
Пример:
Папка отделов
..Папка Отдела продаж
..Папка Бухгалтерии
..Папка Юридической службы
Папка договоров
..Папка договора с поставщиками
..Папка договора с клиентами

Папки собираются и монтируются пользователям с помощью DFS.

Права пользователей делаются по модели AGDLP. На каждый объект доступа( как вариант папку, но это может быть и не папка ) создается access группа, являющаяся локальной доменной группой, для нее прописываются права. На каждую бизнес роль создается глобальная доменная группа. Пользователи включаются в глобальные доменные группы, глобальные доменные группы включаются в локальные доменные группы( access группы ).

Пример:
Папка отдела продаж
Локальная доменная группа saledepread( назначены права доступа к папке отдела продаж на чтение )
Локальная доменная группа saledepwrite( назначены права доступа к папке отдела продаж на запись )
Глобальная группа saledep( включена в локальные группы saledepread и saledepwrite )
Пользователь Василий Пупкин( включен в глобальную группу saledep ).

https://wiki.mikrotik.com/wiki/Policy_Base_Routing
Если кратко, то это делается через маркировку.

Зачем вообще такие выкрутасы? Создайте отдельные учётки.

Обычно у таких компании есть другие недостатки. Это то, что их системы представляют из себя крайне сложный в поддержке легаси код, с большим кол-во сомнительных архитектурных решений или сложных оптимизаций. Плюс кучей дублирующего кода и паутиной зависимостей, поскольку часто проще написать рядом, чем разобраться с написанным.

С nat без использования внешнего сервера с удвоенным каналом это невозможно.
Агрегация каналов в данном случае корректно будет работать для нескольких клиентов, т.е. суммарный канал у вас агрегированный, но для каждого клиента максимальная скорость в общем случае это один канал. Для отдельных случаев скорость можно и увеличить, но это не тривиальная задача применимая не для всех протоколов.

Так

Если все в пределах одной-двух стоек, то используйте готовые совместимые sfp+ кабели.
Это будет дешевле и проще.

Эту задачу решают АТС. Самым простым вариантом являются облачные службы которые возьмут на себя реализацию. Конкретное техническое решение зависит о того, что это за номер и как вам могут его предоставить ( gsm, аналог, sip и т.д. ).

Ниже список ваших правил межсетевого экрана( который вы прислали в комментарий ).
Если мы говори о icmp запросе из 192.168.1.0/24 в 10.0.0.0/8.
Например: выполнение команды ping 10.0.0.15 на узле 192.168.1.44
Нас будут интересовать только forward правила( если нет хитрых правил pre и post routing ).
Упрощенно у нас два пакета.
Один от 192.168.1.44 к 10.0.0.15( запрос )
И ответный пакет от 10.0.0.15 к 192.168.1.44( ответ )
Запрос не подпадает не под одно правило из вашего списка( ниже ), а следовательно успешно проходит и "устанавливает" соединение( соединение появляется в connection tracking ).
Ответ на запрос подпадает под правило:

/ip firewall filter
add action=reject chain=forward comment="from vpn" connection-state="" disabled=yes dst-address=192.168.1.0/24 log=yes reject-with=icmp-network-unreachable \
src-address=10.0.0.0/8

И отбрасывается с ответом icmp-network-unreachable( зачем вы так делаете мне не понятно, вижу уже не первый раз, раньше всегда рекомендовался drop, может быть что-то поменялось ).

До правила:
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked

пакет не добирается. Вот у вас и нет ответа на пинг, т.е. пинг дошел, но ответ не пришел.

Честно говоря вопрос достаточно странный, особенно без конфигов.
Маршрутизация через l2tp в mikrotik настраивается также как маршрутизация через любой другой интерфейс. Если у вас нет базовых представлений о маршрутизации вам следует сначала подтянуть базу по сетям перед настройкой mikrotik.

Опыт работы над реальными коммерческими проектами практически обязателен. Но он может быть не обязательно по целевому стэку.

Важный нюанс, почему-то у нас многие думают, что джун от мидла отличается в первую очередь знанием конструкций языка. Это не так, стэк должен знать уже джун, с точки зрения стэка, требования к мидлу и джуну могут быть идентичными. Условно говоря джун водитель, это не ученик автошколы, это то, кто не знает где лучше на фуре начевать и как рейс с учётом тахографа и реального пробега спланировать, но водить он должен ровно так же.

Потому что у вас в mangle in interface указан. Это для forward трафика, а с самого mikrotik у вас output трафик.

Описанная вами задача очень зависит о того насколько вам повезет.
Тут сразу несколько потенциально проблемных мест.
1. QOS. На входящий канал с не стабильной скоростью не очень простая задача. На mikrotik это можно сделать, на keenetik не уверен. В противно случае первый клиент с торрентом положит ваш wan канал.
2. 80-100 клиентов одновременно на одной точке доступа весьма сомнительная затея даже для ruckus.
3. Комбинация модем-симкарта-провайдер-тариф, без специальных знаний и большого объема реальной практики понять какое сочетание будет работать максимально быстро не получится, а на 100 клиентов нужно реально быстро для 4g.
4. Обеспечение резервирование провайдера, желательно по схеме active-active с балансированием.
5. Учёт того, что скорость вашего внешнего канала будет ОЧЕНЬ сильно зависеть от времени суток.
6. Высокая вероятность того, что вы будете делить вашу скорость с вашим соседом по бизнесу, при этом пиковая нагрузка у вас одновременно.
7. 80-100 клиентов в одной точке сами по себе заметная нагрузка на базовую станцию, т.е. у клиента начинает тормозить интернет, он подключается к wifi и по большому счету остаётся на том же gsm канале.

Я бы рекомендовал проводное решение. Но если оно невозможно, то ставьте keenetik, если у вашего соседа успешный опыт использования, но будьте готовы его выкинуть, это эксперимент, более менее гарантированное решение вашего вопроса, это очень дорого, остальное это удача и стечение факторов, которое может в любой момент поменяться.

Возьмите комплект AmpliFi от Ubiquiti, это не дешевое, роутер плюс повторитель примерно 20т.р, но самое простое решение и практически идеально рабочее решение.
Ну или берите повторители wifi сигнала, можно то того же tp-link, это будет значительно дешевле.