nApoBo3

Одним роутером на 50 клиентов не обойтись.
Кол-во точек доступа зависит от планировки.
Вероятно на обычном тарифе для физ.лиц вы продержитесь не долго.
Тарифы для юр.лиц с той же максимальной скоростью во много раз дороже.
По закону вы обязаны идентифицировать ваших wifi абонентов по паспорту.

Для начала нужно разобраться почему падает интернет.
Нужно отделить "падение" wifi части от проблем на головном маршрутизаторе.
При адекватной настройке 50 клиентов не должны класть именно маршрутизатор( wifi могут ). Попробуйте при наличии проблем посмотреть загрузку маршрутизатора и проверить есть ли при этом проблемы по проводу.
Я ставлю или на wifi или на процессор маршрутизатора( если там накрутили много правил, плюс vpn авторизацию клиентов, плюс qos ).

address list и в него добавить нужные адреса

Зависит от типа vpn. Если состояние линков неизвестно, например ipip, то ospf. Если известно, маршруты с разными метриками.
С помощью ospf можно сделать ещё балансировку каналов.

1. Поставьте задачу перед видеонаблюдением.
Иначе оно у вас не источник безопасности, а источник рисков.
2. Не забудьте вам потребуется ещё защита портов коммутатора, иначе злоумышленники подаст в вашу сеть через провод 220, спалит ваш коммутатор выключив остальные камеры.
3. Изоляция портов можно сделать или vlan, или физическим коммутатором.
4. VLAN просто исходя из названия, оно virtual. В ИТ виртуал используется в первую очередь для повышения утилизации ресурсов. Т.е. если вам нужно 48 портов, с разделением два по 24, это дешевле, чем 48 с vlan. Использовать vlan в такой конфигурации может снизить электро потребление и снижает занимаемое место, но снижает устойчивость к отказам и увеличивает стоимость.
5. Маршрутизацию между vlan осуществляет маршрутизатор порты которого находятся в соответствующих вланах.

100метров это стандарт, а не скорость света. Реальная работа на больших расстояниях зависит от конкретного оборудования и множества других факторов.
Для себя вывел, если линия получается длиннее 80 метров, то лучше ее или разрезать или заменить оптикой, иначе она статистически значимо становится источником постоянных проблем.

1) hap ac lite
2) cap ac и через capsman собрать сеть на hap lite и cap ac( из плюсов, на cap есть два порта, ее можно по poe запитать и разместить в более подходящем месте )
3) hap ac2 или hap ac.

Самый правильный вариант розетку и счётчик подключ. Даже если розетку отключать, никто не помешает воткнуть в обход розетки.
Варианты по проще реле или автомат на малый ток или поставить розетку под "китайский" провод. Но это все только усложняет, но не исключает подключение мимо ваших приблуд.

Зависит от трафика камер и от того, что вы ещё туда повесете, например qos, который вероятно потребуется в данной конфигурации.
Но учитывая разницу в стоимости вопрос не имеет смысла, берите 4011.

Работать будет. Вопрос только с vrrp на порту провайдера.
Вообще вопрос странный, у вас с точки зрения сети практически ничего не меняется, только в каждую подсесть добавляются два реальных ip маршрутизаторов, а виртуальный они перехватывают по недоступности друг у друга.

Настройки зависят от типа тоннеля. Вполне вероятно, что у вас не корректно настроены ваши(2,3) маршрутизаторы.
NAT в данной конфигурации вам не нужен, он не является защитой и требует такой же настройки межсетевого экрана как и соединение без NAT. В первую очередь откажитесь от него, это несколько упростит настройку и понимание как у вас ходят пакеты.

Самый дешевый вариант, это поменять коммутаторы на управляемые. Хотя бы от того же mikrotik. Если все не управляемые коммутаторы стоят в одном месте возможно дешевле будет IP pdu или Ибп с управлением по сети, но вряд ли.

Есть несколько уровней.
1.Скорость порта.
2. Скорость передачи данных.

Для первого есть специальные механизмы, Autonegotiation, важный момент, скорость линка не всегда будет максимально возможно, а в некоторых условиях ее нужно искусственно занизит, чтобы получить стабильную связь.

Для второго. Если речь про udp, то никак скорость не регулируется, с какой один отдает, с ней же другой принимает. Если не может принять пакет теряется. В случае TCP, смотреть в сторону TCP windows size, там есть специальный механизм обеспечивающий подстройку скорости под канал.

Коммутировать второй коммутатор к маршрутизатору. Настроить на маршрутизаторе фаервол и роутинг.
Есть два варианта атаки, первая атака периметра, т.е. попытка получить контроль над маршрутизатором извне, вторая атака на сервисы за "границей" маршрутизатора. Если вы хотите обезопасить сеть и полагаете, что сервисы в сети видеонаблюдения могут быть уязвимы, то следует относиться к ней как не доверенной сети и соответствующим образом настроить фаервол( т.е. считать, что это второй такой же интернет ).
Но не следует забывать, что получив доступ к сети видеонаблюдения, злоумышленник может использовать весьма изощренную атаку основанную на данных видеонаблюдения, начиная от подсмотра паролей, заканчивая хитрой социальной инженерией.

Mikrotik, но только учесть, что openvpn у него только tcp. Лучше сразу перейти на ipsec.