nimbo

Если нужен бэкап с возможностью развертывания и хранения, попробуйте Akeeba Backup. Лучше я пока что не встречал.

/ip dhcp-server set № address-pool=static-only
?

Например:

/ip firewall mangle add chain=prerouting in-interface=vlan1,vla
n2 action=mark-routing new-routing-mark=2
/ip firewall mangle add chain=prerouting in-interface=vlan3,vla
n4 action=mark-routing new-routing-mark=3

/ip route add routing-mark=2 gateway=wan2
/ip route add routing-mark=3 gateway=wan3

Ну и не забудьте про masqurade.

Будут, но ограниченно.

Очереди ведут себя так же, как и фаервол. Пакет сравнивается по условиям сверху вниз. При совпадении очередь применяется и пакет с нижестоящими правилами не сравнивается. Поэтому более узкие (по условиям) очереди нужно размещать выше более общих. Например, если вы хотите для подсети назначить определённую скорость, но одному ип-адресу из неё бОльшую либо меньшую скорость - то queue для этого ип нужно разместить над правилом для подсети. Если у вас fasttrack'аются соединения, они в очередь не попадут. Поэтому либо выделяйте нужные вам пакеты в фаерволе экшном accept, либо отключайте правило fasttrack.

З.Ы. Вообще в winbox'е легко понять, важен порядок правил или нет. Везде, где в заголовке первой строки есть "#" - порядок важен.

Если с настройкой самого L2TP всё решили, то вам нужно прописать маршрут до необходимых ресурсов через этот туннель. Мелкомягкие, как известно, следуют заветам Ленина и "Идут своим путём", поэтому настройка маршрутов на винде - дело нетривиальное. В зависимости от версии настройки могут отличаться, но общий смысл уловите. Пишу на примере вин10, что есть под рукой.
Центр управления сетями и общим доступом - изменить параметры адаптера - ваше л2тп правой кнопкой - свойства - вкладка "сеть" - IP версии 4 - свойства. Далее кнопка "Доп. параметры" или как-то так (у меня винда английская, просто Advanced) - и убираем галочку "Use default gateway". Станет активна вторая галочка: не добавлять маршрут на основе классов. Её ставим и переподключаемся.
Надеюсь, микротику в PPP профиле задан статический ip, предположим, 10.0.0.1.
Тогда в винде вам нужно прописать маршрут, предварительно узнав номер интерфейса л2тп. Это делается командой route print и в самом начале вывода увидите интерфейсы с их автоматически присвоенными номерами в начале строки. Найдите номер л2тп подключения, он нужен, у меня он был 26.
После чего добавьте маршруты к нужным ресурсам следующим образом:
route -p add 1.2.3.4 10.0.0.1 IF 26
Без указания интерфейса маршруты не работают, по-крайней мере, у меня не получилось их заставить работать иначе. И ещё: точно работает с конкретными ip-адресами, но за подсеть говорить не буду, по-моему, были какие-то сложности. Если нужен бродкастовый домен - используйте OpenVPN. Просто и секьюрно. Единственный недостаток - нужно устанавливать стороннее ПО.

Hairpin nat

Mikrotik и два провайдера — только {+объединение+}, толково и проверенно.
Mikrotik RouterOS; два провайдера - балансировка, маршрутизация, firewall (без скриптов).
Равномерное распределение каналов двух провайдеров и доступ к их локальным ресурсам на роутере Mikrotik

Универсальный скрипт переключения 2-х каналов интернета Mikrotik
Резервынй канал + Два провайдера — Mikrotik. Failover. Load Balancing. (Очень понятно, рассмотрены все варианты).
Организация резервного канала связи без скриптов.
Отказоустойчивый сценарий
Два офиса по два резервных канала, круговое резервирвоание. — отсюда, там есть по тексту обновленный скрипт.

Я могу посоветовать использовать следующую цепочку в файерволе:

/ip firewall filter

add action=jump chain=input comment="sshbruteforces chain" connection-state=\
    new dst-port=22 jump-target=sshbruteforces protocol=tcp
add action=drop chain=sshbruteforces comment="drop ssh brute forcers" \
    src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=sshbruteforces connection-state=new \
    src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=sshbruteforces connection-state=new \
    src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=sshbruteforces connection-state=new \
    src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=sshbruteforces connection-state=new
add chain=sshbruteforces dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" disabled=\
    no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add chain=sshbruteforces dst-port=22 protocol=tcp connection-state=new
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
    protocol=tcp src-address-list=ssh_blacklist

Ко мне тоже постоянно ломятся, это ботнет. Первое правило разместите над запрещающим input правилом. Остальные - неважно куда, на них будет произведён jump (это снижает нагрузку на процессор). Работает так: если в течение минуты с одного IP производится более 3х попыток входа - данный IP блокируется на 10 дней.
Данная цепочка подходит тем, кто не хочет менять стандартный порт SSH и нуждается в доступе с любого ip-адреса. Так же можно настроить port-knocking, но это немного сложнее, приходится использовать дополнительный софт
UPDATED Немного обновил и оптимизировал цепочку. Суть осталась прежней

Любой QoS состоит из двух частей.
1. Отмаркировать интересующий трафик в /ip firewall mangle. Тут вам нужно проанализировать соединения на zoom.us и понять, как именно туда/оттуда передаются данные. Анализировать можно по-всякому - через текущие соединения на том же микротике, через Wireshark, как вам удобнее. Ниже пример, как я маркирую трафик для RTP-соединений с голосовым провайдером:
// маркируем соединения
/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark dst-port=\
16384-16538 new-connection-mark=VOIP passthrough=no protocol=udp
// маркируем пакеты в этом соединении
add action=mark-packet chain=prerouting comment=VOIP connection-mark=VOIP \
new-packet-mark=VOIP passthrough=no

2. Создать правила приоритета для интересующего трафика. Это делается через очереди:
/queue tree
add name=queue1 parent=wan-interface priority=1 queue=default
add name=queue2 packet-mark=VOIP parent=queue1 priority=2 queue=default
add name=queue3 packet-mark=no-mark parent=queue1 priority=8 queue=default

Ну и еще несколько моментов:

• Надо понимать, что эффективно управлять вы можете только исходящим трафиком. Входящие пакеты находятся в вашей зоне влияния, когда они уже пришли, поэтому с ними не имеет смысла что-либо делать. Если, конечно, нет задержек в локальной сети, что встречается редко.
  
• Голосовая и видеосвязь критична к времени прохождения пакета. А т.к. zoom.us находится, судя по названию, за океаном, каждый пакетик по пути проходит много промежуточных устройств, на каждом из которых возможны задержки, которыми вы управлять никак не можете. Если вы устраиваете конференции с людьми из России - не лучше ли поискать что-то поближе? Если основная аудитория из США, тогда, конечно, придется терпеть.