1. Какой-нить RB850G или RB1100AH2 вполне себе тянет приличную контору и кучку vpn
2. На клиентах, не только антивирь, но и software rescriction policy, т.к. от шифровальщиков и вымогателей на винде не спасает почти никакой антивирь и никакие ограничения прав. Плюсом бы зарубить usb-носители
3. ХЗ, масса аргументов за/против по обоим вариантам
4. Если на удаленном филиале статический ip, то gre/ipsec, иначе l2tp/ipsec. Канал у филиала свой, контроль на уделенном роутере
5. Масса вариантов, от переключения ручками, до замороченных скриптов
----------------
Я б добавил про активку. Юзаем управляемые свичи от SNR, cisco-like консоль и приемлемое качество.