Настроить два микротика для объединения сетей

1. Итак, нужно [до]настроить два маршрутизатора Mikrotik под управлением RouterOS 6.
2. К каждому настроить возможность удалённого подключения авторизованного пользователя для наблюдения и администрирования.
3. Маршрутизаторы должны быть защищены от несанкционированного доступа к конфигурации и/или внутрь сети.
4. Каждый из маршрутизаторов должен обеспечивать выход в интернет для устройств своего подсегмента и их взаимодействие в локальной серти.
5. Оборудование в сетях уже включает компьютеры на Windows, Linux, смартфоны, принтеры, проводные и беспроводные видеокамеры, видеорегистраторы, умные часы, коммутаторы, маршрутизаторы, ардуино-модули и может пополняться новыми типами устройств.
6. В каждом подсегменте нужно, чтобы DHCP-сервер выдавал IP-адреса. Я бы хотел зафиксировать адреса для большинства постоянных устройств. (У меня сложилось впечатление, что эта функция на Mikrotik работает с ограничениями: при количестве зафиксированных клиентов порядка 10 начинаются проблемы с отображением в winbox).
7. СЕРВЕР с фиксированным IP (в квартире в г.Москва). Доступ в интернет через GPON-терминал от МГТС, к которорому подключен микротик.
8. КЛИЕНТ (на даче) с WiFi-модулем и USB-портом:
Режим использования выходов в интернет (обсуждается).
а) WAN — воткнут в роутер ASUS, который раздаёт интернет, получаемый сейчас через USB-модем, но в последоствии возможно подключение, например, к GPON-терминалу.
б) USB — мобильный интернет, желательно с автоопределением модема и оператора. Предподчительны высокие скорости — LTE, LTE+,…
Основной а). При отсутствии выхода в интернет (20 секунд) — переключаться на б). Когда появляется основной (в течение 10 секунд) — вернуться на него.
9. Между КЛИЕНТОМ и СЕРВЕРОМ при наличии у обоих доступа в интернет (попытки должны производиться, думаю, каждую минуту) должно устанавливаться защищённое соединение (с обеспечением подлинности, целостности и конфиденциальности).
10. Должна быть возможность изменить общий секрет(ы) защищённого соединения.
11. Устройства двух подсегментов должны быть «видны» друг другу (PING) и доступны для работы как по локальной сети.
12. Что должно работать в общей сети — видеонаблюдение, в частности, протоколы ONVIF, RTSP, HTTP, FTP. Конкретнее — прошу помочь мне определить требуемые порты и протоколы.
13. Конфигурирование должно быть выполнено таким образом, что в случае, если ЗАКАЗЧИКА :) не удовлетворит производительность системы в целом, у него должна быть возможность просто перенести конфигурации на более производительное оборудование c RouterOS и получить корректно работающую систему.
14. На данный момент работает следующее:
1) Клиентское устройство Микротик также находится в Москве (на том же столе :) ) но подключено к интернету по проводному каналу через Ростелеком. К клиентскому микротику подключен видеорегистратор аналогичный дачному и идентичная видеокамера.
2) Сейчас соединение l2tp-IpSec между Микротиками устанавливается, пинги как-то ходят, (вчера я тестировал пинг от хоста за микротиком-сервером к хосту за микротиком-клиентом — потеря была 0.2% за пару часов).
3) Программа видеонаблюдения xeomа с Linux в сети микротик-сервера даже как-то открывает видеокамеру в сети микротик-клиента через тоннель, но потом l2tp-соединение отваливается.
18. Прошу помочь локализовать проблему и решить её. Прошу помочь мне подобрать правильные формулировки и в целом определиться с ТЗ. Я на связи и готов ответить на Ваши вопросы хоть сегодня.
19. Ожидаю, что после настройки стабильной работы видеонаблюдения Микротик-клиент нужно будет просто отвезти на дачу и воткнуть в роутер ASUS, дав ему выход в интернет. Дома (за сервером) настроить на Linux программу Xeoma и/или сетевой видеорегистратор.