Кот Абсолютный

Никакой.

WoSign, который любят все любители халявы, взломан и мозилла обсуждает удаление его корневых сертификатов из списка доверенных
Mozilla обсуждает удаление корневых СА WoSign

Я бы купил - пять баксов в год это вообще смешные деньги

По очень простой причине - он для этого писался :) В мире не так уж и много IP-адресов (v4, конечно же), а устройств, которым он нужен, гораздо больше. Поэтому во-первых:
- провайдер Вам выдаст максимум 1 белый IP (все остальное - за деньги)
- во внутренней сети у Вас будут адреса типа 192.168.1.1

Далее происходит что:
- устройство 192.168.1.1 отправляет пакет ... ну например на 77.88.55.66 (такой адрес есть, это Яндекс :) )
- роутер, который подключен к провайдеру, заменяет в пакете адрес источника на выданный провайдером белый IP и запоминает это
- пакет, в котором адрес источника - белый IP провайдера, доходит до яндекса, яндекс посылает ответ, пакет возвращается на роутер
- роутер, помня, что и где он менял, меняет в полученном пакете адрес назначения на 192.168.1.1 и отправляет пакет на устройство.

Получить доступ до 192.168.1.1 из внешней сети невозможно никак, потому что любой роутер такие пакеты просто обрезает, хотя иногда провайдеры нарушают RFC и устраивают "полосатый" интернет в своей локалке, когда 192.168.1.1 из одной сети может получить доступ скажем к 172.16.1.1 в другой сети

Защита срабатывает. Тут два варианта:
- после чистки собрали так, что где-то коротит
- в процессе выправления ножек повредили проц

Если атака была целенаправленная, то никакие программы ничего не найдут. Если атаку проводили "какеры", то достаточно например Malwarebytes. Если есть время - мигрировать данные, форматировать винт, ставить систему заново.

1. Будет активироваться, пока не кончится счетчик. Для некорпоративной версии счетчик маленький - не то три, не то пять, после чего нужно звонить в коллцентр и доказывать, что ты на самом деле купил, если доказал - ну еще раз три-пять. У корпоративной версии количество установок и количество оставшихся активаций показывается в интерфейсе управления лицензиями.
2. Нет. Активировалась - значит лицуха.
3. Да, и очень быстро - см. ответ #1. Существующие компы не блокируются.
4. Нет. Где-то в логах M$ конечно есть информация о том, кто когда откуда активировал, но вряд ли они ее предоставят - разве только по официальному запросу американской Фемиды.

В небо. И считать звезды. Во-первых, серийный номер в записи SOA меняли? Если не меняли, то нет повода для обновления зоны. Во-вторых, DNS - система инерционная и по RFC старые данные могут держаться в кэше еще до двух суток. Даже DNS мобильных операторов - своего рода чемпионы по скорости обновления данных и то обновляют базы не мнгновенно, а спустя полчаса-час. А уж провайдеры станционарного интернета могут это растянуть на 4-6 часов и более.

Так что только смотреть на небо и считать звезды...

Полную анонимность может обеспечить только неиспользование интернета :) Да, можно купить VPN в загранице - но у провайдера в логах все равно останется факт подключения к VPN. Да, можно поставить Tor - но в тех же логах все равно останется факт выхода в Tor. Да, содержимого там не будет - но метаданных о том, что действие было совершено может оказаться достаточно для применения терморектального криптоанализа, в процессе которого Вы сами добровольно и с песней расскажете куда и зачем ходили.
Для начала модель нарушителя сформируйте - от кого хотите защититься? Если от государства - то бесполезняк, государство и в состоянии стать глобальным наблюдателем и ресурсов у него достаточно. Можно усложнить процесс получения информации, но невозможно продумать некую механику, чтобы сделать раз, два, три - и гарантирована стопроцентная анонимность.
Если же речь идет о корпоративной сети - то там анонимности нет по определению.

Windows 10 устанавливать никуда не стоит, ну разве что Вы как Джок Стерджес - без стеснения :) А уж на комп с 2G RAM тем более - там семерка-то притормаживает.

Буржуи обычно на такие расплывчатые вопросы отвечают it depends. Буквально "это зависит". Потому что это зависит от множества факторов - железо на сервере, особенно обьем памяти и локальных дисков, задачи, которые будут крутиться на машинках, планы по расширению в кластер, наличие и планы на СХД, личные предпочтения - тема ESXi vs Hyper-V почти такая же заезженная, как Windows vs Linux (и собственно частично ее отражает :))
Если это отдельный хост и никогда не будет второго хоста рядом - я бы поставил VmWare ESXi. Гипер для отдельно стоящего хоста бесплатный, поддержка железа - практически любого, если вдруг его нет - есть способы ее (поддержку) добавить. Теоретически ESXi - это отдельно стоящий сервер - но тут мне недавно подсказали замечательный финт ушами, как можно работать за ним с помощью отдельной видюхи, проброшенной в виртуалку :)

Знаете, это вообще-то серьезная работа - определить, какие сервера нужны под Ваши требования, какие СХД... С бюджетом опять же непонятно - есть ограничения, нет, каков он. Вам действительно лучше всего будет найти контору, которой можно поставить задачу. Ну либо самому все это изучить. Здесь никто не сможет дать настолько подробной консультации - потому что даже для того, чтобы дать какой-то дельный совет - нужно посидеть подумать...

Задача распадается как минимум на две.

1. Регистрация доменного имени mneprostointeresno.ru. Это делается у любого регистратора. Для того, чтобы настроить имена ftp, www, ns и т.д. подымать свой DNS не обязательно - регистраторы оказывают услуги Primary-DNS. У этого решения есть плюсы и минусы. Плюсы - ничего не подымать, все редактируется в более-менее дружественном интерфейсе. Минусы - при отсутствии связи и необходимости что-то поменять придется обламываться до тех пор пока связь не появится. Поэтому лучше всего сделать:

2. Запуск собственного DNS. Запускается bind, формируются необходимые записи (SOA, NS, A, MX и т.д.) и IP севера с bind (белый, если он за NAT) указывается у регистратора в качестве адреса primary DNS. Secondary DNS рекомендую брать прямо у регистратора - так проще настраивать.

Статьи по настройке DNS для небольшой конторы. Старые, еще 2006 года, но в DNS мало что поменялось с тех пор :)Создание и управление зонами DNS, часть 1 и Создание и управление зонами DNS, часть 2

Но по факту, при чистом Installed SAs листе у меня работает только один туннель из двух...

Разумеется, поскольку в записи SA в том виде, как она хранится в ядре - одно поле под индекс записи SP. Поэтому SA можно связать только с одной политикой. А раз так - значит надо построить политику так, чтобы нужная подсеть покрывалась одной маской. Например, указать в качестве dst-address 172.20.0.0/16 - тогда под действие этой политики будут попадать пакеты на оба хоста.

В любой команде UNIX могут быть совершенно произвольные ключи. Их смысл целиком и полностью задается разработчиком. Разработчик может дать им какое угодно название, части ключей дать короткие имена, а части длинные, использовать стандарт GNU (--keyname=keyvalue) или же getopt (-keyname=keyvalue), а то и вовсе стандарт DOS (/keyname:keyvalue) - и ничего тут не поделаешь :) Внутри неких крупных проектов (например GNU) есть некое внутреннее соглашение о формировании параметров, ключей и т.д., но общего соглашения среди всех разработчиков нет и быть не может :)

Thunderbird. The only, как говорится. Больше ничего, что бы работало и там и сям и еще вон там я не знаю. Нужно только не забывать "Отправленные", "Шаблоны", "Черновики" настраивать на сервер, а то она все норовит их в локальную папку сунуть.