Дмитрий Александров

RSTP и не должен работать в случае с vlan'ами и вашей схемой, тут нужен mstp.

По скринам у вас мешанина вариантов настроек vlan'ов. Перечитайте как настраиваются и чем отличаются подходы.
Если пошли по пути vlan filtering то соблюдайте его правила:
- единый бридж со всеми портами
- на бридже включен vlan filtering
- во vlan's бриджа созданы вланы и указано куда он ходит с тегом и без тэга.
- на портах указан тэг.

Если по пути без vlan filtering то каждому vlan свой бридж, vlan вытаскивать\затаскивать через псевдоинтерфейс типа vlan.

Есть и совсем хардкор через switch chip.

Схема из WG+EoIP сама по себе дичь, там MTU будет крошечный.
Смотрите в сторону l2tp, на худой конец в сторону OpenVPN. Если вмето рук лапки то ZeroTier. Можно еще глянуть sstp но там tcp.
А вообще, по хорошему, если вы проталкиваете во вне l2 то у вас что то явно не так и надо что то пересматривать и уходить в l3.

Штатно никак, srv записи могут решить проблему но требуют костыля на стороне клиентов.
Как костыльный вариант сделать похожее можно черезе port knock только с переключением порта назанчения. Но тогда одновременно можно будет работать только с одним из соединений.

Бот сканит

Никак. домру дает префикс ipv6 по SLAAC который по дизайну предполагает что сеть не может быть меньше 64 префикса. Да и вообще в целом надо чтобы сеть была с 64 префиксом а провайдер давал 56 или 48 префикс.

Касательно домру(кстати мануал выше какраз я и писал) возможно стоит отказаться от их раздачи и взять от брокера или из 6to4 где какраз будут аж 48 префиксы, но в обоих случаях крайне желателен статичный ipv4.

Другой вариант дождаться или рискнуть обновиться до router os7, там появился nat для ipv6 и можно сделать 1 к 1 проброс до нужной железки внутрь нужной сети присвоим внешке микрота еще нужное количество адресов из одного 64 префикса.

Что то вы мудрите слишком сильно. Тут сейчас будет количество людей= количеству вариантов, так же все сильно зависит от рассадки персонала\кабинетов\планировки кабинетов.
С моей колокольни и реалий рассадки я бы разделил так:
Как предпосыл, яб набрал побольше железа пусть и более дешевого.
1) все все все, что связанно с бухами в свою подсеть, на свой свитч. Т.е. компы\принтеры\сервер бухов.
2) отдельная сеть для прочих серверов которые юзают все или всё.
3) отдельная сеть для wifi, отдельно для видеонаблюдения.
4) отдельная сеть "прочая" где все остальные.
Между всем этим тупое разграничение правилами фаирвола или фаирволов в идеале(т.е. каждой сетью рулит своя железка, даже микротик).
Но опять же, это мой случай. У нас все бухи сидят на одном этаже в 3х соседних кабинетах как пример. Если у вас 1 кабинет на одном этаже , второй на 5 этажей выше а еще пара рандомно находится то тут однозначно вланы. Главное помнить что чем сложнее схема, особенно с вланами, тем сложнее потом будет это контролировать, искать проблемы, прокидывать, особенно если люди обслуживающие это меняются и особенно не документируют. В этом плане раздельные подсети гораздо проще.

Лезть в библиотеки игры где идет шифровка\расшифровка пакетов.

Клиент слушает некий фиксированный порт бродкаста. Предположим 60001. Причем все клиенты.
В Этой локальной сети появляется сервер, периодически сервер шлет бродкаст на порт 60001. Скажем каждые 10 секунд.
Все будет ок, сколько бы не было клиентов но серверов всегда будет меньше и сеть не засрете.
Бродкастом можете сообщить что то типа "ip-сервера:порт-сервера:версия-игры", дальше клиент ловит этот пакет, смотрит что версия подходящая, и к примеру уже по tcp начинает получать полную информацию сервера(карта\режим\иконка\что угодно) и отображает это в списке серверов игрока.

Может просто купить белую статику у провайдера? Я уже давно не видел провайдеров у кого нет такой услуги да и стоят они от 10 до 100р в среднем.

А так да, как советовал Владимир Куц VPN поднимать.

Если я правильно понимаю то сертификат тут фигурирует как mitm для прокси провайдера? Кроме того обязательно условие чтобы все тачки жили с ip адресами провайдера? А вы хотите получить хоть какое то управление такой сетью?

Если так то можно организовать свой dhcp с выдачей списка адресов которые хочет провайдер. Могу конечно ошибаться в пути настройки но по идее правильно и должно заработать.
wan порт кидает в бридж со всеми остальными портами, фаирволом блочите udp\tcp связанные с dhcp сервером. Создаете пул с ip которые хочет провайдер. Создаете dhcp сервер с этим пулом на бридж. Довешиваете всякие нужные dhcp опции если надо, отдельные сети для ,скажем, внутренних серверов с шарами и т.д. Настраиваете правила фаирвола по блоку всего ненужного выхода на порт где живет провайдер. Настраиваете тиковский dns сервер, его тыкаете в провайдера а в локалку раздадите уже тиковский ip По итогу вы сможете рулить сетью уже на таком этапе, делать что хотите, блокировать, смотреть кто получил адреса и т.д.

Другой вариант это двойной nat сделать классически, на wan порту статикой адрес который хочет провайдер, нат, своя сервая сеть внутри и т.д.

С прокси тоже несколько вариантов.
Можно обвернуть все необходимые настройки прокси в pac файлы и раздавать их по dhcp. Можно не по dhcp а по доменному имени дефолтному. Плюсом является что получите множество настроек, на уровне dhcp можно будет рулить какому клиенту какой файлик сунуть.

Можно обвернуть в фаирволе все запросы на 80\443 порты в ip прокси провайдера.
Но если сертификат используется для mitm то в любом случае придется на каждой машинке руками 1 раз засунуть эти сертификаты.

Через pulseaudio можно попробовать все завернуть.

1) Для начала растолкать сети физически, на основном микроте оставить только серверы и линк до 2го микрота на котором будут сидеть юзвери.
2) Сети с серверами задать 192.168.195.0/26 что даст 62 адреса чего должно хватить за глаза
3) Сети с пользователями задать 192.168.195.64/26 192.168.195.128/26 и 192.168.195.192/26 естественно разбив эти сети по портам.
4) Агрегируем подсети или вяжем так внаглую.
5) На основном микроте рулим кому и куда можно.

На выходе будет сегментированная сеть в которой все будет работать также как и раньше но можно будет рулить правилами для сегментов или конкретных адресов не перегружая фаирвол лишними правилами.

Может проще перевести сеть в Bridged режим а лишние порты закрыть фаирволом непосредственно в windows?