nApoBo3

Можно попробовать через l7 фаервол. Делаете две метки и в nat advanced выбираете layer7 protocol.

Перейдите на ipsec ipip или ipsec l2tp.
В mikrotik openvpn не идеален.

В firewall, что в input и output chain?

Уровень лога info не достаточен в данном случае, нужен debug.
Но предположу, что перегружен канал из-за этого падает туннель.
Делайте qos и посмотрите, что у вас так аплодит, не исключено, что кто-то в офисе или стримит, или "торрентит".

QOS это система которая решает какой трафик дропнуть и того который в нее уже пришел.
LimitAT, это не у тебя будет 10мбит, это если для тебя прилетит 10Мбит мы их точно пропустим.
Чтобы ограниченно управлять вашей скоростью, вы сначала должны сделать ее несколько меньше лимита входящего соединения, иначе у вас просто столько трафика не приходит, чтобы его дропать.

1. Интернет и мост между собой никак не связаны.
2. На мост можно повесить несколько разных адресов в разных подсетях, но при это не будет l2 изоляции.
3. В одном l2 сегменте можно выдавать ip из разных подсетей с помощью резервирования.

DHCP работает в пределах L2 домена. Его необходимо вынести в отдельный L2 домен, или физически или с помощью vlan.

1. Переобжать. Проблемы с витой парой не обязательно будут проявляться в потере пакетов, может быть и так линк ап линк даун.
2. У mikrotik нет как такового wan порта, эту роль может выполнять любой порт. Попробовать на другом порту.

802.1x, остальное обходится без существенных сложностей. Но внедрение 802.1x в сети задача не тривиальная.

https://wiki.mikrotik.com/wiki/Policy_Base_Routing
Если кратко, то это делается через маркировку.

С nat без использования внешнего сервера с удвоенным каналом это невозможно.
Агрегация каналов в данном случае корректно будет работать для нескольких клиентов, т.е. суммарный канал у вас агрегированный, но для каждого клиента максимальная скорость в общем случае это один канал. Для отдельных случаев скорость можно и увеличить, но это не тривиальная задача применимая не для всех протоколов.

Так

Ниже список ваших правил межсетевого экрана( который вы прислали в комментарий ).
Если мы говори о icmp запросе из 192.168.1.0/24 в 10.0.0.0/8.
Например: выполнение команды ping 10.0.0.15 на узле 192.168.1.44
Нас будут интересовать только forward правила( если нет хитрых правил pre и post routing ).
Упрощенно у нас два пакета.
Один от 192.168.1.44 к 10.0.0.15( запрос )
И ответный пакет от 10.0.0.15 к 192.168.1.44( ответ )
Запрос не подпадает не под одно правило из вашего списка( ниже ), а следовательно успешно проходит и "устанавливает" соединение( соединение появляется в connection tracking ).
Ответ на запрос подпадает под правило:

/ip firewall filter
add action=reject chain=forward comment="from vpn" connection-state="" disabled=yes dst-address=192.168.1.0/24 log=yes reject-with=icmp-network-unreachable \
src-address=10.0.0.0/8

И отбрасывается с ответом icmp-network-unreachable( зачем вы так делаете мне не понятно, вижу уже не первый раз, раньше всегда рекомендовался drop, может быть что-то поменялось ).

До правила:
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked

пакет не добирается. Вот у вас и нет ответа на пинг, т.е. пинг дошел, но ответ не пришел.

Честно говоря вопрос достаточно странный, особенно без конфигов.
Маршрутизация через l2tp в mikrotik настраивается также как маршрутизация через любой другой интерфейс. Если у вас нет базовых представлений о маршрутизации вам следует сначала подтянуть базу по сетям перед настройкой mikrotik.

Снимите дамп трафика. Вполне вероятно, что у вас нет маршрута на устройстве в заданную сеть, или оно блочит своим экраном все запросы не из своей сети, например WD NAS по умолчанию ведет себя именно так.
В логе у вас все на первый взгляд нормально, это SYN пакет, т.е. попытка установки tcp сессии не проходит.

Нужно более подробное описание.
Хотя бы схему сети с описание адресов сайтов которые вы пытаетесь открыть.
Судя по симптомам не все ДНС у вас в сети знаю адрес данного сайта. Когда запрос идет к ДНС которому данный адрес не известен все будет выглядеть именно так.
Например это локальный ресурс и в 8.8.8.8 для него записи нет.