Как бы ты подошёл к решению этой проблемы?

Ладно, честно говоря, я не мастер нетворкинга, но в профессиональной сфере раньше работал с RB (RouterOS). Мне нужно создать комплект спутниковой связи для мобильного интернета для моего работодателя, чтобы они могли сами его развернуть, а я мог удаленно обслуживать. Вот что я думаю, но был бы рад услышать ваше мнение. Так, спутник, который я планирую использовать — Tooway KA Band, с RB951Ui-2HnD. И вот какие есть сложности: у спутникового модема один разъем RJ45. При конфигурировании спутника нужно заходить в интерфейс спутникового модема по адресу 192.168.100.1. IP-адрес выдается спутниковым модемом по DHCP. Вы делаете выравнивание, и когда все готово, вам выдается публичный IP-адрес, а не адрес из DHCP-пула спутникового модема. Проблема 1#: Публичный IP-адрес выдается по DHCP спутником в небе. Если вовремя отключить ноутбук, то публичный IP-адрес закрепляется за MAC-адресом ноутбука, а поскольку публичных IP-адресов немного (меньше <5), это может создать проблему, поскольку вашему роутеру не будет выдан IP-адрес на WAN-стороне. Возможное решение: Если я настрою порт 1 как WAN, порты 2-4 как DHCP NAT (192.168.1.1-255), а порт 5 как DHCP 192.168.100.2-255, то я смогу использовать порт 5 для настройки спутника. Соответствующая схема IP-адресов должна позволить пользователю ноутбука подключаться к спутниковому модему через Mikrotik на порту 5, и даже если они не отключатся вовремя, публичный IP-адрес будет закрепляться за MAC-адресом RB-интерфейса WAN. Проблема 2#: Я не всегда буду там, чтобы отладить оборудование, если что-то пойдет не так. Возможное решение: включить удаленный доступ к RB, для большей безопасности добавить правила, фильтрующие трафик на основе статического IP-адреса (я могу использовать свой VPN, чтобы обеспечить возможность удаленного входа только мне). Поскольку WAN-IP может меняться, создать скрипт для отправки мне по электронной почте WAN-IP-адрес. Но, я предполагаю, что я не смогу войти в спутниковый модем, есть ли какой-нибудь способ удаленно получить доступ к спутниковому модему по адресу 192.168.100.1? Проблема 3#: Спутниковая полоса пропускания дорогая, поэтому я хочу ограничить, что могут делать пользователи. Я понятия не имею, какой будет лучший способ. Я не хочу фильтровать файрволом по содержимому, потому что, если на каком-то сайте будет написано «посетите нас в Facebook», по моему пониманию страница будет отфильтрована. Идея блокировки определенных IP-адресов кажется немного лучше, но это означает, что мне придется сидеть и решать IP-адреса, а с учетом современных CDN и мобильного развертывания спутника, я думаю, что IP-адреса будут меняться от места к месту.