nApoBo3

1) hap ac lite
2) cap ac и через capsman собрать сеть на hap lite и cap ac( из плюсов, на cap есть два порта, ее можно по poe запитать и разместить в более подходящем месте )
3) hap ac2 или hap ac.

В задаче не хватает данных. Если вам просто нужно вытащить антенный из ящика, раскрутите свой mikrotik и посмотрите есть ли там разъемы.
Но это будет колхоз в любом случае, вам же ещё колхозить крепление этих антенн.
Если ящик только для эстетики, замените его на пластиковый и не парьтесь, это проще всего.
Если mikrotik только усиливает сигнал замените его на усилитель сигнала от того же mikrotik( он значительно компактее ).
Если нужно на одном кабеле вытащить наружу точку, возьмите саму компактную cap lite.

Маршруты на vpn клиенте это головная боль для админов mikrotik. Он так нормально не умеет, поскольку у него нет полноценной настройки dhcp в vpn. На некоторых форумах пишут, что смогли настроить проброс внешнего dhcp до vpn пользователей, но там костыли( и не уверен, что рабочие ).
Маршруты на клиентской стороне( win ) можно задать некоторым кол-во способов.
В win 10 есть специальный параметер в vpn подключении для этой цели, ставиться через power shell( можно создавать подключение сразу с эти параметром скриптом ).

В win 7 и можно или настраивать( но это руками, пользователь такое не осилит ) триггер на подключение к vpn, который будет делать add route.
Ещё есть cmak, это пакет от microsoft, для создания предварительно сконфигурированных подключений в виде инсталлятора. Он тоже так умеет, но штука весьма глючная на выходе получается, плюс нужны права администратора, при каждом подключении.

И ещё один более менее нормальный способ, это классовая маршрутизация, например при vpn тоннеле с адресацией в сети вида 10.x.x.x windows сам пропишет маршрут в это соединение на подсети 10.0.0.0/8.
Последний вариант самый удобный если у вас сеть 10.x.x.x.

Ну или openvpn, с готовым конфигом для клиента.

Но лично я openvpn не люблю. Это дополнительный софт и пинги на нем часто бывают сильно хуже.

Для win клиентов лучше всего sstp, более универсальный l2tp/ipSec.

Qos. Тема обширная с не слишком простая. Начните с теории, на habr есть вполне неплохие статьи на этот счёт. Если не хотите изучать лучше обратитесь к оутсорсерам, тема qos с наскока без понимания процесса не решается.

Значит маскарадинг настроен не корректно.
Используете srcnat вместо mascarade.

Вероятно вы не корректно настроили local forwarding и data path. Возможно не до конца разобрались в смысле этих настроек.
Если укрупнено, трафиком беспроводного клиента может управлять или сама точка( local forwarding ) или контроллер( data path ).

Плюс, иногда бывает, что на точке не корректно собран bridge.
Если сложно разобраться, лучше сбросить точку без сохранения конфигурации и перенастроить.

В сетях есть только пакет, на l2 пакет идёт от одного мака к другому, на l3 от одного ip к другому. Нарисуйте для своего случая где и как происходит инкапсуляция пакетов в упрощенном виде и все встанет на свои места. Т.е. вот есть компьютер он отправляет пакет на микротик, и расписать что будет с этим пакетом далее и какие где будут адреса.

У вас какая-то каша. Если вы хотите объеденить их l2 туннелем( тоннель в бридж ), то у вас не две подсети, а одна географически распределённая.
Если же у вас реально две одинаковые подсети, то ваша идея корректна. В каждой подсети вы маскирует( подменяет ) другу сеть, меняя в ней адреса, подставляя вместо нее виртуальную сеть, маршрутизируете эту сеть на другой роутер и там делаете обратное преобразование. Сделать это надо на двух концах туннеля, поскольку иначе у вас не будут проходить ответы.

Я бы предположил или петлю( но поскольку по mak доступен, то это не она ) или конфликт адресов.
Попробуйте следующее:
1. Повесить еще один адрес в другой сети на тот же интерфейс и проверить доступность по данному адресу в тот момент когда возникают проблемы.
2. Повесить еще один адрес в другой сети на другой интерфейс и проверить доступность по данному адресу в тот момент когда возникают проблемы.
3. В момент возникновения проблем снять дамп на mikrotik и на рабочей станции. Вообще в любых непонятных ситуациях с сеть снимай дамп, там можно много чего интересного найти.

"Секюрности" незначительно, но добавляет.
Так же немного улучшает "управляемость".
Плюс нужно понимать, что админ, если это не целый коллектив профи, не может быть до конца уверен в своих компетенциях по всему спектру технологий и будет больше полагаться на те технологии которые лучше понимает. Вероятно в mikrotik он чувствует себя увереннее.

Допустим все порты открыты и пользователь использует условный jabber, через него происходит что-нибудь не хорошее. Абсолютно не важно, что, но руководство не довольно, кто плохой, админ.
Допустим админ доступными методами все перекрыл, а пользователь обошел эти методы и произошло, что-то не хорошее, кто плохой, пользователь. А на вопрос, почему это нельзя было заблокировать, ответ, даже у гос-ва заблокировать телеграмм не вышло, куда уж нам.

Протокол использует udp, настраивать qos на входящий udp трафик бессмысленно.

Можно, искать по запросу policy based routing или source based routing.

Можно. Без должной квалификации может не быть сети у пользователей. Делается просто. Делаете два адреса на одном интерфейсе. На него же вешаете dhcp сервер. Не забыть про dns( если он на микротик ). Ну и настроить маршруты для каждой сети с правилами фаервола.

Посмотрите, что в этот момент в логе. Проверьте настройки мостов на точках. Такое бывает когда настройка моста и local forwarding "не согласованы".
Иногда интерфейсы остаются в бридже, даже при настройке localforwarding, тогда точку лучше сбросить без дефолтной конфигурации.

Зависит от трафика камер и от того, что вы ещё туда повесете, например qos, который вероятно потребуется в данной конфигурации.
Но учитывая разницу в стоимости вопрос не имеет смысла, берите 4011.

Работать будет. Вопрос только с vrrp на порту провайдера.
Вообще вопрос странный, у вас с точки зрения сети практически ничего не меняется, только в каждую подсесть добавляются два реальных ip маршрутизаторов, а виртуальный они перехватывают по недоступности друг у друга.

Самый дешевый вариант, это поменять коммутаторы на управляемые. Хотя бы от того же mikrotik. Если все не управляемые коммутаторы стоят в одном месте возможно дешевле будет IP pdu или Ибп с управлением по сети, но вряд ли.

Ipip и ipsec

Ошибка в конфигурации birdge на точках доступа может приводить к такой проблеме при использовании capsman.
В логах будут ошибки вида bridge port received packet with own address as source address.