CityCat4

заявляют, что хранят логи с IP-адресами 10 недель

Хранят конечно же дольше и не факт что в зашифрованном виде - ты все равно проверить не сможешь.

безопасно ли будет заходить в приложение Сбера по такому ВПН?

По такому VPN безопасно на голых девок посмотреть втихушку от мамы :) Единственный более-менее надеежный VPN - тот, который построил ты сам.

Опять Туркменистан? Успокойтесь уже, в вашей стране - никак :)

(Хотя на самом деле - и в нашей стране никак, и вообще нигде никак)

Провайдером стать можно - подключившись к провайдеру верхнего уровня. Но проблема в том, что (это для РФ, но в Туркменистане точно есть что-то подобное) - чтобы получить провайдерскую лицензию, нужно подключится к системе СОРМ (Система содействия оперативно-розыскным мероприятиям), установить "черные ящики" РКН - ну в общем самому стать маленьким таким драконом, который точно так же блокирует доступ к ресурсам, которые запрещены государством.

Да, не знаю, так там у вас, а здесь не принято пихать в вопрос кучу тегов, которые к вопросу относятся ровно никак.

Купить новый коммутатор большего обьема. Не забывать про потенциал развития - 20% портов должны быть свободны.

А установка программ юзеру запрещена?
А запуск портабельных браузеров контролируется?
А что будет, если юзер принесет на флэшке Firefox Portable и запустит его?

Ну для начала я бы узнал - а можно ли самому покупать? Оптопровайдеры не с просто так раздают свои коробки в аренду - они им нужны чтобы все было "пострижено, покрашено, посеяно песком". Какой-то особенный GPON - он скорее всего просто не заработает у тебя - ну то есть линка по оптике тупо не будет.

Ты всерьез думаешь, что пров - лох и откроет доступ со стороны абонентов к своим управляющим структурам? :)
Вырубить микротик, чтобы он не анонил себя в сеть - одна кнопка в винбоксе...

Первое - проверить на блокировку РКН. Ростелеком всегда бежит поперед паровоза в исполнении блокировок. Если блокировка есть - разбираться.
Если блокировки нет - смотреть, как зареген домен у хостера или отдельного регистратора и писать в соответствующий саппорт (разумеется, если можете доказать, что домен - Ваш, а то была тут мода домены регить на бомжа Васю)

Какой кабель, кстати? Одножилка, многожилка? Медь, омедненка?

Дано 1гбит канал (950мбит\сек по speedtest).

Если физик и подключение дома - то это уже неверное предположение. Потому что канал дома - это от 0 и до 1Гбит. Причем никто не гарантирует, что максимум будет хоть когда-то достигнут. И даже это - только до первой точки входа в сеть провайдера.
То есть тебе обещали (не гарантировали!) канал со скоростью до 1Гбит... до провайдерского роутера. Все. Дальше обещалка кончилась и пошла такая скорость, какая есть. Ну и кроме этого любой пров режет торренты.

Что можно сделать? Ну, если денег не жалко - поговори о тарифе на flat rate. Стоить он будет раз в десять дороже текущего, но это будет честный резерв полосы (то есть это будет именно 1Гбит, а не "от 0 до 1 Гбит").

Ну, тут есть только два варианта:
- устроиться в местный аналог ФСБ и самому заниматься блокировкой тырнета (кто что охраняет, тот то и имеет :) )
- завести трактор

Туркменистан - маленькое государство, где тырнетом пользуется очень малая часть населения. У него достаточно ресурсов, чтобы блокировать VPN и прочие ресурсы, которые не вписываются в политику его руководства. У него явно больше ресурсов, чем у тебя :) и там однозначно просматривается впереди северокорейский вариант :)

Прямое соединение между двумя клиентами за NAT (каждый за своим) в том случае, если провайдер не помогает (а обычно он не помогает) невозможно.

Угу-угу. Воткнул ты такой usb с чем-то непонятным, сидишь балдеешь, потом поднимаешь глаза - опа, а рядом безопасник стоит :) и без всякой улыбки спрашивает - а что это такое только что воткнули в ноут?

Если это по работе - лучше напрячь админов. Если не по работе - лучше всего не лезть на корпоративный ноут.

Не будут.

Что есть в данном случае "модем"?
Как таковые, модемы перестали использоваться где-то в середине нулевых.
Как DSL-устройства кое-где еще используются, хотя скорости конечно там...
Как USB-устройства уже практически выродились после того, как в каждом телефоне появилась своя wifi точка, хотя я им пользовался еще в 2016 году :)

Однако я не могу понять, что нам мешает раздавать любые айпи адреса в подсети, так как при выходе в глобальную сеть они натятся и заменяются публичным(и).

Применение сети немного больше чем чья-то одинокая локалка. Так дикари обычно считают - "мы все человечество".
Вот например я произвожу видеокамеры (на самом деле вовсе не видеокамеры). Я вписываю в каждую адрес "по умолчанию" 192.168.1.1 и особо не грею голову, что камера куда-то полезет сраду после включения.

А если бы у нее стоял 200.200.200.1 (адрес принадлежит бразильской телекоммуникационной компании Embratel и находится в Рио-де-Жанейро - именно там, где все негры в белых штанах :)) - она как знать, могла бы и подключиться :)

если приложение итак находится на машине, имеющей свой адрес

Какой из? Даже у машин с одной сетевухой всегда два адреса - второй всегда 127.0.0.1. А вообще могут быть машины с двумя, тремя, ... N сетевухами...

Виртуалка эмулировала сетевуху, но не может эмулировать wifi, потому что обычно это не надо.

Сразу возникает два вопроса:
- читал ли RFC на протокол DNS и понимаешь ли принципы работы DNS?
- нахрена? Если думаешь таким образом обойти ограничения РКН - то нифига не выйдет - провайдер проверяет любой пакет на порт 53, куда бы ты его ни направил.

Именно поэтому появился DoH и именно поэтому так советуют DNS направлять через VPN

1. Сканирование WiFi - если сеть достаточно компактная, можно тупо телефоном проверять, иначе же автоматизировать.
2. Сканирование типа системы через nmap например. Роутер можно заставить прикинуться виндой, но для этого нужно иметь нехилую такую квалификацию, которая большинству любителей обойти корпоративный прокси и не снилась.
3. СМП на рабочих местах, регламенты с ознакомлением под роспись, и примерное анальное насилие над первым, кто попадется с трансляцией воплей на всю контору чтобы отбить желание дурить у других начисто.

Как всегда - комплекс административно-технических мер

Если Вы работаете в структурах, имеюших в штате такие группы захвата - можно. Технически это не особо сложно, у провайдера есть все данные, у хостера соцсети есть все данные, складываете один и два - и все. Обычному человеку это невозможно никак от слова совсем.

Насчет "нормальных-то стран" - в общем-то все верно, за одним небольшим замечанием - в нормальных-то странах люди определенных национальностей (пофиг на гражданство) людьми не считаются и с ними можно поступать как угодно...