CityCat4

EKU ipsecEndSystem, ipsecTunnel, 1.3.6.1.5.5.8.2.2 в сертификат включены? Ябблофонов у меня нет, но вот макось одна есть - и она подключается.
Еще может оказаться, что у яббла есть требования к серверному сертификату - например винда категорически откажется подключаться, если у нее в серверном сертификате в SAN нет DNS имени узла и его IP.
Вполне возможно, что яббл ожидает другой удаленный ID, можно попробовать не прописывать его вообще.

Конечно :)

Неверное понимание. Каждого абонента каждого провайдера отслеживает СОРМ (Содействие Оперативно-Розыскным Мероприятиям), которую пров обязан у себя поставить, самому прову на Ваш трафик наср... (ну в РФ, хотя и в других местах есть наверняка что-то похожее).
При использовании VPN/Proxy пров увидит, что идет подключение к какому-то IP где-то там. Да, он не увидит содержимого трафика, но если им (прокси/vpn) пользоваться активно - увидит, что трафик идет в основном куда-то там и, в случае повышенного интереса со стороны "людей в сером" - к Вам придут просто по этому факту :)
Анонимность (более чем менее) достигается только при использовании своего VPN, потому что в противном случае факт, что VPN не ведет логи (где уже отражен реальный трафик!) недоказуем.

Ну ина всякий случай - провайдер не решает, что блокировать, а что нет. Решения принимает РКН и централизованно рассылает по своим "черным ящикам".

Ну, тут надо начать с того - а действительно ли вы КИИ и действительно ли письмо пришло оттуда, откуда написано? А то на заборе написано XYZ, а за забором почему-то .wood

Это от контекста зависит. Устройство смотрит в тырнет - может означать, что устройство имеет подключение к тырнету, которое вовсе не обязательно прямое, а может означать именно прямое подключение к нему. Приложение смотрит - обращается куда-то и ищет какие-то данные где-то. Порт смотрит - скорее всего означает, что он проброшен через NAT и к нему есть доступ извне.

На самом деле это безграмотное выражение, примерно как описание неисправности автомобиля - "аккумулятор крутится, а газу нет" :D

Сетевка при блокировке засыпает и рвет коннекты.

Стоит ли приобретать NGFW железку иностранных брендов, если заранее известно, что плюшки подписок невозможны?

Разве только попонтоваться. Сегодня не подпадаете, завтра подпадете - кто знает, что там придумают завтра?

если железо куплено на юрлицо в РФ, а подписки на другое юрлицо?

Работать может и будет. А вот как это будет проводить ваша бухгалтерия - это уже совершенно отдельный вопрос...

Если посмотреть в сторону отечественных решений (Usergate, Eltex, Ideco)

Только не ideco :) Однажды меня попросили написать обзор на одну из моделей ideco, дали образ виртуалки, чтобы погонять. Ну я погонял, посмотрел, из чего оно состоит... и честно предупредил заказчика (а это был не ideco) - что положительный образ на это merde я написать не смогу, а отрицательный им наверное не нужен :D
Это была куча обычных приложений типа squid, strongswan etc, слепленная в одно и сверху покрытая тооооооненьким слоем их оболочки.

если в организации отсутствует отдел ИБ

На двести рыл по идее он должен уже появиться. И как раз маршрутизаторы, средства удаленного доступа, всевозможные раздачи и задачи прав - это будет по его части.

Не-а. Мы тут злые ежи, можем только методику подсказать, что посмотреть и поправить. За готовым продуктом - это немного не к нам :) Там, где надпись "Хабр Q&A" справа стрелочка есть, Нажимаешь на нее, выбираешь "Фриланс" - тебе скинут какой угодно скрипт... за твои деньги :)

Никакой. Проверить тот факт, что "я в эмуляторе" - пара пустяков - слишком серьезные отличия у аппаратной базы телефона и компа. А банковские приложения - самые нервные. Юзайте личный кабинет на сайтах банков.

Нихрена не понял...

repo.packagist.org открывается. Причем тут санкции? Большая часть ИТ-сайтов не открывается не потому что на них наложили санкции, а потому что они сами на себя их наложили :)

И вообще - Вы вообще в РФ? А то может в Туркменистане?

Что говорит which apt-get?

самый высокий доступный тариф - 700 Mbps

Неверно. ДО 700 Мб. Две буквы, а какая разница :) То есть скорость может быть от нуля и ДО 700 Мб и то - до точки входа в оборудование РТК (в лучшем случае до точки выхода с оборудования РТК). А дальше - все, как повезет, никто ничего не гарантирует, тем более ресурсы в Забугории.
Можно подключить так называемый flat rate, то есть гарантированную полосу пропускания (опять же она гарантирована только внутри РТК), но цены там соооовсем другие :)

В гугле забанили?

Принято делать так, как вам надо :) Есть базы, которые не имеет смысла копировать чаще раза в месяц, а есть которые нужно постоянно бэкапить - все зависит от того, какой обьем данных готовы потерять и какой обьем работы готовы провернуть при восстановлении :)

Обычно в таких случаях лог смотрят - а обнаружилась ли сетевка? Или lspci запускают, чтобы убедиться, что система ее видит, вот таким образом например:

# lspci | grep -i ether
00:1f.6 Ethernet controller: Intel Corporation Ethernet Connection (14) I219-V (rev 11)

man smb.conf

Увлекательгное чтиво...

Роутеры с симками есть, но питалово скорее всего придется колхозить. Впрочем, если это не реально на себе, а допустим на автомобиле - сколхозить переходник питания с автомобильной сети...

У коммутаторов нет WAN и LAN. Да, собственно и у роутеров их нет, у нормальных-то :) Эти сокращения - фантазия маркетологов, продающих соховский дишман.
OpenWRT - роутерная прошивка, что ей делать на коммутаторе?