CityCat4

Простой ответ - никак.
Сложный ответ - позвоните, поговорите, попросите рассчитать проект. НО! Готовьтесь увидеть совершенно запредельные суммы. Не, пров проведет - за ваши деньги хоть к черту в #опу, вопрос в том, потянете ли Вы такие расходы?

Делаю ping - все ok (и на 80 порт и 22).

Пинг на порт сделать нельзя. От слова совсем. В ICMP понятие порт просто отсутствует :)

Открыть консоль, посмотреть, почему не запущен ssh (а connection timeout - это он именно не запущен)

Что в постановлении суда будет - то и добавит. Будет урл - добавит урл. Будет сайт - добавит сайт. Обычно видеохостинги, если не хотят блокировок, просто удаляют спорный контент. А "нету тела - нету дела"...

Конечно.

По локальному IP - в любом случае.
По локальному имени - если оно прописано в hosts или если есть свой DNS

wireshark

Вопрос на самом деле вовсе не про CAPsMAN, а про сетевую безопасность вообще? Ну так помешает все то же, что обычно мешает допустим подключению ноутов, приносимых из дома - привязка маков к портам, ограничение маков в DHCP. Другое дело, что это дело муторное и хлопотное и в сохо обычно этим вовсе не морочатся...

Там внутри своя ОС и сеть 192.168.0.0 на компе другая сеть

Там внутри сидит омоновец в экипировке и не дает сеть перенастроить, да? :)

можно скрыть от провайдера посещаемые сайты и пароли через платные впн которые шифруют всё даже от провайдера(

Можно. Эта штука называется VPN. Правда того факта, что VPN используется, от провайдера никак не скроешь. И, если Вам есть что скрывать - ждите гостей...

А по простому сетевому соединению что может сделать провайдер?

Увидеть, куда ходите и подсчитать сколько качаете.
Если соединение не шифрованное - увидеть, что качается

Может ли через него получить полный доступ над компом не смотря на всякие платные впны которые действуют на ppoe

Вообще-то за такие вещи уголовная ответственность предусмотрена. Провайдеру это совершенно точно не надо :)

Дорогой провайдер, а почему у нас так интернет тормозит?

Дорогой провайдер заведет тикет в своем трекере, проверит пинг до роутера, увидит, что все нормально, отзвонится Вам, скажет, что у него все нормально, но если хотите, можем прислать специалиста, блаблабла. На работу Вашей локалки ему совершенно параллельно - кто там кого и зачем ддосит.

А может ли провайдер получить доступ к логам роутера, не зная пароля роутера?

Может, если это его роутер - в этом случае он сразу увидит в мониторинге нагрузку на внутреннем интерфейсе, - либо если админ лох и не сменил пароль (а где можно и логин) администратора.

Узнать внутренний IP - это конечно прикольно :) только толку от него? Вот, у меня внутренний IP : 10.50.1.1 - попробуйте, получите доступ :D

Примерно так выглядит запрос в гугл о том, что такое адрес 127.0.0.1:
Окей, Гугл, что такое 127.0.0.1?
(Хинт: 127.0.0.1 - это специальный адрес, трафик на который никогда не покидает локальный компьютер)

Очень многие попадаются на том, что путают медь и омедненку, особенно из поколения админов первого призыва - в наши времена омедненки не было :) Разумеется, я про одножильник.
Первая - просто медный провод. Вторая - провод алюминиевый, покрытый медью. Технология особо не важна, важен факт, что здесь имеется алюминиевый (более дешевый) провод, а сверху не очень большой слой меди - отсюда и дешевизна.
Отличается по маркировке - в первой - CU, во второй - ССA и в описании обычно указано. Ну и конечно STP. Я думаю, та, что у Вас за 8 тыров - это подходящая, за 4 - скорее всего омедненка.

Спутниковый интернет - не про Вас и не про Ваши дачи :) Спутниковый интернет - он про тех, у кого "дачи" на Мальдивах, на Гавайях, на тропических пляжах Микронезии... Им цены кажутся вполне адекватными :) а Вы им - ни разу не ЦА, поэтому никто никогда не будет делать "адекватных для Вас" цен - просто потому что ЦА этой услуги мыслит другими категориями.
Ну и вывод, мониторинг, поддержание работы, эксплуатация спутника - тоже стоят очень и очень немало...

Домашняя станция, подключенная через микротик. Или через линух. Через кинетик, на худой конец (на очень худой, например на комариный :) ).

Бэкап должен лежать на машине, к которой не может добраться вирус и делаться так, чтобы вирус не мог его проесть. В данном случае единственным безопасным путем будет сворачивать архивы на клиентских тачках, шифровать и передавать на точку хранения по протоколам, отличным от SMB (потому что Васи/Пети/неПети тоже про них знают)
Работать за таким компом нельзя - он должен стоять в шкафчике, под замком на глазах у админа, чтобы никто к нему не подходил. Разумеется, там должна быть не винда.

Кроилово ведет к попадалову

Все попытки скрестить ужа с ежом, то есть удобство с безопасностью, обычно оборачиваются плачевно. Вам лучше задуматься о кардинальном перестроении - потому что никто никогда не бэкапит клиентские тачки - в таких случаях выделяют сервер, шарят его по сети и бэкапят сервер.

1. НЕ использовать PPTP
2. Не использовать PSK в IPSec, использовать только сертификаты, выпущенные в заданном CA - пусть хоть опухнут от перебора

Можно отправиться добывать золото для страны на четыре года.

УК РФ ст. 272, часть 2. Корыстная заинтересованность тут прям очевидна :)

А ну, марш Олиферов читать! :)

Из этого вопроса понятно и очевидно только

я только начинающий системный администратор

все остальное просто поток сознания какой-то...

Схему сначала нарисуй - что куда включено, что куда приходит и откуда уходит - пригодится...