res2001

Это не отрегулировать маршрутизацией.
Попробуйте на tp-linkе настроить фаервол так что бы он не пускал пакеты из 192.168.5 в 192.168.1 и наоборот, кроме собственного адреса tp-link (иначе у вас все отвалится для 192.168.5).

А вы протестируйте и нам расскажите.
На сколько я знаю, будет подключаться, даже если один из адресов не доступен.
По крайней мере, когда у себя в конторе организовал второй канал и сделал подобную настройку в ДНСе, то в поддержку практически перестали поступать звонки от клиентов о не доступности сервиса, когда один из каналов не работал.

Полагаю в этом виноват: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy
Этот параметр надо сделать равным 1. Если его нет, то создать, тип DWORD.
Это UAC шалит - операция требует администраторских привилегий, а по сети вы не сможете повысить привилегии.
Этот параметр позволяет для сетевых взаимодействий отменить UAC, т.е. если вы зарегистрировались с правами администратора по сети, то будете иметь администраторский доступ без необходимости повышать привилегии.

В одноранговой сети винды есть такое понятие как master browser. Он выбирается "голосованием" компов им может быть любой комп с виндой. Задача masterk browser вести список компов в сети и отвечать на запросы.
Так вот, когда комп включен и отключен беспроводной мост, то master browser в вашей "отдельной небольшой сети" уже выбран среди доступных компов. В большой сети есть свой master browser. Когда вы подключаете сеть создается конфликт master browserов. Конфликт обнаруживается не сразу, уходит какое-то время на решение кто же все таки останется master browserом и после этого на уведомление рабочих станций об изменении master borwser. Потом компы должны зарегистрироваться в новом master browser, если это необходимо.
Когда беспроводной мост уже работает и вы включаете свой комп, то винда сразу обнаруживает нормальный действующий master browser и все работает.

Выход из положения я вижу такой: на всех компах в вашей отдельной сети запретить выборы master browser. Это делается правкой реестра:
HKLM\SYSTEM\CurrentControlSet\Services\Browser\Parameters
MaintainServerList="No"
IsDomainMaster="No"

В вашем последнем рисунке по сути не 2 ДМЗ и ЛВС, а 3 сегмента ЛВС, ходящие через 2 фаервола, возможно с разными правами доступа к Интернет.
ДМЗ - правильно изображена на первом рисунке.
ДМЗ актуально для атак из вне. Если вам надо ограничить доступ к определенным сервера внутри ЛВС, то никто вам не мешает выделить их в отдельную сеть и защитить своим фаерволом. Но это уже не ДМЗ, а просто закрытый сегмент внутренней сети. Внутри своей сети можете городить какой угодно огород. Хотите разделяйте сети, хотите нет, хотите защищайте фаерволом и т.п. Главное не забывайте прописывать маршруты.

Обычно используется стандарт 568B для 1Гб - там задействованы все 4 пары коннектора/кабеля. Для 2 пар все то же самое, только не используются пары: 4,5,7,8. Соответственно имеем:
1 - бело-оранжевый
2 - оранжевый
3 - бело-зеленый
6 - зеленый

Нет особых камней. Главное, чтоб все коммутаторы понимали VLAN.

Смотрите в сторону ipsec nat traversal. FreeBSD поддерживает, на счет микротика - не знаю, но думаю, что должен.

По IP адресу назначения и таблице маршрутизации определяется в какой интерфейс отправлять пакет.
Если адрес назначения непосредственно доступен в сети на интерфейсе, то отправляется ARP запрос в этот интерфейс.
Если адрес назначения непосредственно не доступен, то пакет отправляется на следующий маршрутизатор согласно таблице маршрутизации.
Это обычная схема работы IP маршрутизации, она одинакова, что на шлюзе Cisco, что в винде дома.

Разворачивал DLP от McAfee, никаких тормозов не замечено, все прошло гладко. Не знаю как в InfoWatch все устроено, но у McAfee есть понятие супер-агент - это агент, у которого есть локальный репозиторий пакетов. В каждом удаленном офисе у меня развернут 1 супер-агент, остальные компы в той сети обновляются с него. Поэтому особого трафика между офиса не генерируется, к тому же пакеты по супер-агентам можно раскидать заблаговременно.
Если в сети ранее действовали административные правила, запрещающие пользователям использовать внешние устройства хранения (флэшки, CD/DVD RW и т.п.), то пользователи не заметят, что у них появилась DLP. У меня до DLP как раз были подобные регламенты + в биосе отключали USB где было возможно, CD/DVD девайсов физически вообще нигде не было, кроме админов.
Сейчас DLP работает уже несколько лет, большой нагрузки на сеть не замечено. В политиках DLP заблокированы внешние устройства хранения, кроме особо привилегированных сотрудников.
Вообще разворачивать программные продукты в сети должны админы, т.к. это их прямая обязанность, а вот тонкую настройку уже могут проводить сотрудники ЗИ, если есть квалифицированные кадры. Да и то я бы им и это не доверил - DLP это еще что, вот если бы они персональный фаервол разворачивали, например, при неправильном предварительном конфигурировании можно вообще всю сеть колом поставить. У меня безопасники скидывают нам требования к защите, мы их реализовываем, а они потом тестируют на соответствие реализации требованиям. Админского доступа к DLP и тому подобным антивирусам они не имеют - могут только смотреть настройки и получать отчеты.