nApoBo3

Посмотрел предыдущие темы. Вы смешиваете трасерт, пинг, dhcp, сканирование сети все в одну кучу.

Судя по первой теме, в вашей сети есть альтернативный dhcp. Следует понимать, это не обязательно сам сервер, это может быть realy. При этом это может быть как ваш relay в следствии ошибок в настройке, так и "левый".
Но следует понимать, что если адрес dhcp находится не в вашей подсети, это может быть два разных узла. Т.е. узел в ваше подсети или relay получил широковещательный запрос dhcp от вас, ответил вам и представился определенным ip. Но поскольку этот ip не в вашей подстеи, то трафик на него пойдет через шлюз, таким образом о можете перейти на совсем другой узел.
Пример:
Я поднимаю в вашей сети dhcp и руками прописываю ему ip yandex. Вы получили адрес и пытаете мой ip пинговать, но трафик пойдет на шлюз и шлюз его отправит на yandex и узел yandex'а вам ответит.

Вам нужно найти dhcp в сети который вам "делает пакости". Для начала посмотрите wireshark mak адрес который вам отвечает. Попробуйте его найти на коммутаторах. В худущем случае сужайте домен, можно даже физически отключая свичи или вставляя в разрез грамотно настроенный микротик.

Коммутировать второй коммутатор к маршрутизатору. Настроить на маршрутизаторе фаервол и роутинг.
Есть два варианта атаки, первая атака периметра, т.е. попытка получить контроль над маршрутизатором извне, вторая атака на сервисы за "границей" маршрутизатора. Если вы хотите обезопасить сеть и полагаете, что сервисы в сети видеонаблюдения могут быть уязвимы, то следует относиться к ней как не доверенной сети и соответствующим образом настроить фаервол( т.е. считать, что это второй такой же интернет ).
Но не следует забывать, что получив доступ к сети видеонаблюдения, злоумышленник может использовать весьма изощренную атаку основанную на данных видеонаблюдения, начиная от подсмотра паролей, заканчивая хитрой социальной инженерией.

В как к мегафону подключены, как физ или как юр.лицо?
ИМХО самый простой способ, разместить на колакейшен шлюз или развернуть шлюз в облаке.

Если разделы не зашифрованы бессмысленно, всегда можно забутится с внешнего носителя. Отчасти эту проблему решает Vpro, если не ошибаюсь.

У цисок большая часть есть, возможно и все, но все перечисленые фичи использовать не приходилось. Доступность некоторых фичь, зависит от модели точки и контроллера. Думаю у hp тоже должно быть, как и у моторолы.

Проще всего openvpn. ИМХО на centos, но по большому счету не важно.
Правильно L2TP ipsec. Поскольку стандарт.

Расширяем ситуацию, пользователь а узнал оба пароля пользователя б. Что дальше? Три пароля?

Сделайте двухфакторную аутентификацию. Ключи пусть носят при себе, в компах не оставляют.
Можно даже сделать ключи с временными паролями, т.е. брелок который дает каждый раз новый пинкод.

Если нужно два пароля, поставьте не доменный файловый ресурс, и там ставьте другие пароли, но имхо это странное решение, зачем тогда домен?

Кол-во сотрудников не есть кол-во компьютеризированных рабочих мест.
Так же имеет значение реализации телефонии, может быть аналоговая, может быть IP.
Технологии безопасности, СКД и камеры.
При планировке здания необходимо учитывать расстояния и электрофицированность. А так же температурный и влажностный режим.
Наличие требований регуляторов.
Качество электропитания и кондиционирования.
Возможность размещения оборудования с учетом шума.
Материалы стен.

Если цена не интересует, обратитесь к интегратору и пропишите хотелки в договоре. Играться с функциональным, но бюджетным оборудованием есть смысл только при жёсткой экономии бюджета, с пониманием того, кто и как будет за ним следить.
Не забывайте, что к "внешнему" wifi могут быть претензии у регуляторов.

Вполне безопасно, хотя алгоритм RC4 считается устаревшим, а PPTP зависит от реализации и подвержен атакам mitm. Лучше перейти на более "стойкие" VPN.
Но надо учитывать трафик которые идет до VPN. В том числе DNS.

Есть хороший цикл статей на habrahabr "Сети для самых маленьких".