CityCat4

С того же, с чего и линух - приобретаешь микротик (ну или если совсем бюджетно - ищещь на торрентах образ RouterOS) и ставишь задачу. Изучаешь в процессе решения задачи нужные разделы, ненужные пропускаешь. Документации на самом деле немного - все дается практикой и только практикой...

IKEv1 с микротиком не заработает в принципе. Нужно использовать IKEv2, если прошивка соответствующая. Если же прошивка, в которой еще нет IKEv2 - обновиться и попробовать. Кроме того, хэш sha256 в микротике как-то через спину сделан - он работает только на соединении микротика с микротиком, при попытке связать микротик со strongswan - не получается нифига.

С проблемой зависания IPSec в микротике сталкивался. Это именно RB2011-UiAS :) При вводе любой команды, относящейся к IPSec, микротик просто тупит пока не отменишь команду. Не знаю, чем это вызвано, лечится перезагрузкой микротика.

Вариант 1 - VPN до сети и почта только после VPN
Вариант 2 - сертификаты (в смысле проверка личного сертификата)

Вариант 1 проще технически - VPN ставится и настраивается один раз. Правда, если делать нормальный VPN, это должен быть не PPTP, может потребоваться установка клиента
Вариант 2 технически сложнее, но ему пофиг на IP от слова совсем - проверка "свой-чужой" идет по наличию на устройстве сертфиката, выданного корпоративным СA. Правда, проблема в том, что далеко не все почтовые клиенты имеют возможность работы с S/MIME вообще и далеко не все работают с личными сертификатами. Ну и публикация CRL, выдача новым сотрудникам, отзыв уволенных - возни будет много. Зато пофиг - статический IP, динамический IP, главное чтобы порт 500/4500 был не заблокирован (не все клиенты поддерижвают произвольный порт)

На каждом порту свои настройки? Тогда бондинг, который посоветовали, не канает. И получается частный случай вопроса про двух провайдеров. Нет, в таком случае "сложить" каналы и получить 200Мб на скачку одного толстого файла нельзя. Точнее говоря, нельзя, если это не торрент (который умеет тянуть кусками с разных мест). Ускорение работы в таком случае обычно добиваются разнесением сервисов по провайдерам - с этого качается тырнет, с этого почта и IP-телефония...

Независимо от того, используются провайдерские DNS или нет, если mysite.com в списках РКН - провайдер будет его банить. Например, путем перехвата DNS-запросов по порту 53. Если в них содержится запрос на резолв mysite.com, такие пакеты могут тупо дропаться. Нет резолва - нет коннекта.

Наверное потому что маршрутизация не настроена :) Микротик сам ничего не делает :)

Микротик ничего не знает о пользователях.
Микротик не интегрируется в AD или еще какую среду (IPA например).
Микротик не знает, что такое NETBIOS.

Микротик знает только IP. Сам не пробовал, но если можно будет снимать статистику в формате ipcad - можно будет считать по IP, портам, etc. Без нормального прокси полноценной статистики не получить.

Доооолгое время у меня все было на одном хосте - и FreeBSD (которая работала роутером), и сервак, и тестовые машинки. Эта схема хороша, когда ты постоянно дома и способен в пару кликов поднять упавший FreeBSD, который постоянно после пропадания питания пишет про software inconsistency. Когда тебя дома нет - приходится привлекать неквалифицированного ребенка :D
Поэтому я для себя решил так - микротик (аппаратный, коробочка), и только микротик. Сервак у меня из разряда "сам-себе-сервер", iLO в нем нет, если бы был - выставлять его в тырнет я бы не стал. Микротик прекрасно держит и тырнет и IPSec VPN до работы, пропало питание - нет связи. Появилось питание - микротик включился, я зашел на консоль FreeBSD, отвесил ей профилактического пенделя...
Аппаратный микротик в Вашем случае дает гарантию того, что можно будет попасть на iLO, а с него уже и сервак рестартануть, если надо. DSM...ну там конечно линух, там и mc можно замутить, и пакеты ставятся...но я бы отделился микротиком, а DSM оставил внутри сети. Если нужно прям попадать на DSM - там есть DS Cloud Client, позволяющий файлообмен - будет типа маленького дропбокса :)

Определенному пользователю или определенному IP адресу? Микротик работает на том уровне, где нет логинов пользователей - для этого нужно прокси ставить.

В разделе маршрутизации. Микротик должен знать, что пакет, пришедший с 1.2.3.4 для 4.3.2.1 нужно направить в интерфейс [ifname0], пройдя по которому он достигнет либо 4.3.2.1 непосредственно, либо того, кто знает, куда этот пакет направить дальше. Ну и соответственно 4.3.2.1 должен знать, что если ему пришел пакет от 1.2.3.4, его не дискардить, а отправить тому, кто знает куда этот пакет девать. Тут настройки скорее всего придется делать на обеих микротиках.

Сколько с микротиком не работал - пищал он у меня только при перезагрузке. Сначала длинное "бииип" - началась загрузка, потом через некоторое время "бип, бип" - загрузился и готов. Не знаю, может в разных моделях по-разному, но RB450G почти год на столе стоял...

RouterOS не позволяет работать с таблицей raw. Совсем. Можно конечно на форуме микротика поспрашивать - сделали же они в конце концов IKEv2 :)

Конечно прокси. Не микротиковское в смысле встроенное прокси, а нормальный полноценный squid. Который в частности решает и задачу обломать юзера, возжелавшего слить фильмец на пару гигов в рабочее время :)

Поставив мощный репитер Вы рискуете себе повредить кое-что :) indoor-антенны вовсе не зря ограничены по мощности. В вашем здании просто обязаны быть слаботочные шахты между этажами - прокладывайте провод через них. На репитерах Вы не построите сколько-нибудь устойчивой сети.

Это что, гуглопереводчик что ли, так перевел? И что значит "администрировать"? Выделять? Торговать? ARP привязывать? :)

Выкинуть такую циску, в которой isakmp нет :) и купить микротик. На двух микротиках IPSec настраивается буквально в несколько команд, особенно если по PSK, а не по сертификатам. Или линух поставить сo strongswan-ом - он не менее просто интегрируется.

Ну вот несколько примеров.

# Все от программы ntpdate в файл /var/log/ntpdate
if $programname == 'ntpdate' then                       /var/log/ntp

# все остальное в файл /var/log/daemon
if $programname != 'ntpdate' \
    and $syslogfacility-text == 'daemon' then           /var/log/daemon

# Сообщения MARK в файл /var/log/marks
if $msg == '-- MARK --' then                            /var/log/marks

# остальные в /var/log/kernel
if $msg != '-- MARK --' \
    and $syslogfacility-text == 'kern' then             /var/log/kernel

У Rsyslog несмотря на наличие документации с примерами бяда-бяда...