nApoBo3

Ставить то что знаете.
Что именно не принципиально, сеть не большая.
Из не дорогих и приличных mikrotik и ubiquiti. Первый лучше как роутеры, второй как wifi.
Еще очень интересные железки из не слишком дорогих есть у zyxel.
Лично я предпочитаю mikrotik, по нему очень много мануалов достаточно подробных и приличного качества, плюс его легко купить, много и в наличии.
Коммутаторы не принципиально, если нужно poe можно взять cisco sb( например sf300p ), вообщем любые управляемые, можно из тех же mikrotik или ubiquti.

Выбор конкретных моделей будет зависит от физической конфигурации объекта, требовании в температурным и погодным режимам, питанию.

Посмотрел предыдущие темы. Вы смешиваете трасерт, пинг, dhcp, сканирование сети все в одну кучу.

Судя по первой теме, в вашей сети есть альтернативный dhcp. Следует понимать, это не обязательно сам сервер, это может быть realy. При этом это может быть как ваш relay в следствии ошибок в настройке, так и "левый".
Но следует понимать, что если адрес dhcp находится не в вашей подсети, это может быть два разных узла. Т.е. узел в ваше подсети или relay получил широковещательный запрос dhcp от вас, ответил вам и представился определенным ip. Но поскольку этот ip не в вашей подстеи, то трафик на него пойдет через шлюз, таким образом о можете перейти на совсем другой узел.
Пример:
Я поднимаю в вашей сети dhcp и руками прописываю ему ip yandex. Вы получили адрес и пытаете мой ip пинговать, но трафик пойдет на шлюз и шлюз его отправит на yandex и узел yandex'а вам ответит.

Вам нужно найти dhcp в сети который вам "делает пакости". Для начала посмотрите wireshark mak адрес который вам отвечает. Попробуйте его найти на коммутаторах. В худущем случае сужайте домен, можно даже физически отключая свичи или вставляя в разрез грамотно настроенный микротик.

Коммутировать второй коммутатор к маршрутизатору. Настроить на маршрутизаторе фаервол и роутинг.
Есть два варианта атаки, первая атака периметра, т.е. попытка получить контроль над маршрутизатором извне, вторая атака на сервисы за "границей" маршрутизатора. Если вы хотите обезопасить сеть и полагаете, что сервисы в сети видеонаблюдения могут быть уязвимы, то следует относиться к ней как не доверенной сети и соответствующим образом настроить фаервол( т.е. считать, что это второй такой же интернет ).
Но не следует забывать, что получив доступ к сети видеонаблюдения, злоумышленник может использовать весьма изощренную атаку основанную на данных видеонаблюдения, начиная от подсмотра паролей, заканчивая хитрой социальной инженерией.

В как к мегафону подключены, как физ или как юр.лицо?
ИМХО самый простой способ, разместить на колакейшен шлюз или развернуть шлюз в облаке.

Если разделы не зашифрованы бессмысленно, всегда можно забутится с внешнего носителя. Отчасти эту проблему решает Vpro, если не ошибаюсь.

У цисок большая часть есть, возможно и все, но все перечисленые фичи использовать не приходилось. Доступность некоторых фичь, зависит от модели точки и контроллера. Думаю у hp тоже должно быть, как и у моторолы.

Проще всего openvpn. ИМХО на centos, но по большому счету не важно.
Правильно L2TP ipsec. Поскольку стандарт.

Расширяем ситуацию, пользователь а узнал оба пароля пользователя б. Что дальше? Три пароля?

Сделайте двухфакторную аутентификацию. Ключи пусть носят при себе, в компах не оставляют.
Можно даже сделать ключи с временными паролями, т.е. брелок который дает каждый раз новый пинкод.

Если нужно два пароля, поставьте не доменный файловый ресурс, и там ставьте другие пароли, но имхо это странное решение, зачем тогда домен?

Кол-во сотрудников не есть кол-во компьютеризированных рабочих мест.
Так же имеет значение реализации телефонии, может быть аналоговая, может быть IP.
Технологии безопасности, СКД и камеры.
При планировке здания необходимо учитывать расстояния и электрофицированность. А так же температурный и влажностный режим.
Наличие требований регуляторов.
Качество электропитания и кондиционирования.
Возможность размещения оборудования с учетом шума.
Материалы стен.

Если цена не интересует, обратитесь к интегратору и пропишите хотелки в договоре. Играться с функциональным, но бюджетным оборудованием есть смысл только при жёсткой экономии бюджета, с пониманием того, кто и как будет за ним следить.
Не забывайте, что к "внешнему" wifi могут быть претензии у регуляторов.

Вполне безопасно, хотя алгоритм RC4 считается устаревшим, а PPTP зависит от реализации и подвержен атакам mitm. Лучше перейти на более "стойкие" VPN.
Но надо учитывать трафик которые идет до VPN. В том числе DNS.

Есть хороший цикл статей на habrahabr "Сети для самых маленьких".