CityCat4

Олиферов в зубы - и читать до посинения. Такой прости-Господи-админ начнет с того, что уронит сеть нахрен :)

JFYI: Хабов не существует уже лет этак... последний я в 2006 году видел :)

имеется организация, порядка 150 компьютеров, один сервер без ad, dc и прочего

Такой организации впору называться "Бардак Инкорпорейтед". Потому что там бардак у вас.

Я не будут расписывать что нужно сделать на текущей "топологии" - потому что ее нужно сносить нахрен и строить так, как это делается всегда - модем от РТК в режим моста, арчер меняется на приличный роутер, который используют юрики, заводится домен, все компы в домен, dhcp на dc и прочие вещи - это должен делать админ, которого озадачат это сделать (и дадут соответствующий бюджет).

Ну и разумеется меры административные, которые необходимы после такого периода "безвластия" и которые уже описал Алан Гибизов

какие знания будут достаточны для позиции джуна

На эникея все нужные знания уже есть. Вполне можете искать вакансии эникея (помошника сисадмина, младшего сисадмина etc).
В зависимости от вакансии можно даже место собственно админа рассмотреть, если список требований не большой.
(Мы сейчас эникея не ищем, но если бы искали - Ваша кандидатура была бы рассмотрена. Прям вот так, на том, что есть)

где начинается то самое "Владение ОС на уровне системного администратора"?

От момента, когда ставится задача и Вы сами ее решаете

и с этой гостевой ОС организовать удаленный доступ к домашнему компьютеру

Ну, во-первых каким образом? Если стоит вопрос об СМП, значит роутер, который отделяет локалку от тырнета точно есть и порты там точно заблокированы.

Или, если установлен соответствующий софт, снимки экрана будут

Будут, будут. С точки зрения хоста - VB всего лишь программа и ее работа будет точно также отражаться в мониторинге, буде он есть.

Подскажите пожалуйста как это сделать?

Никак. Так сделать невозможно. Если провайдер без оптики - просто принимаете его на сервер и на сервере разруливаете трафик, а wifi роутер переведите в режим точки доступа (если он такой есть, конечно)

Если покупать нормальный, белый, статический IP, то только будучи юр лицом

Сменить такого прова нафиг, если есть возможность - потому что 100% это местечковое чудище (я в таком работал).

Использовать VPN + VPS. Я этот способ рассматриваю как костыль.

Большинство использует именно такой способ, даже когда у них статика на халяву. Домашний сервер хорош когда там сайт с полутора посетителями в день и не особьо нагруженная почта. Когда там идет активная работа - тебя пров может запросто забанить за перегруз сети.

В сторону обращения в саппорт, конечно же.

Насколько я знаю и помню:

Дело было в Красноярске. У нас стали возникать проблемы с доступом одного клиента (аптеки) к БД краснояского филиала. Разборки привели к тому, что выяснилось, что у аптеки RFC1918-compliant адрес, но "союз меча и орала" (то есть все краснояские провайдеры) так договорились, что RFC1918-compliant адреса считали маршрутизируемыми! Внутри своих сетей ессно. А мы, как нормальные люди, глушили весь RFC1918-compliant трафик, пришедший извне.
Мы долго переписывались и скандалили, но все же добились того, что там как-то настроили, что на нас эта "перекраска" не распространялась...

Было это очень давно, больше десяти лет назад.

Такого не бывает и быть не может. Вы очевидно один из тех, кто не понимает, как работает система безопасности в линухе? Что ж, патч Бармина решит все проблемы...

Странно, что вообще работал :) Это хоть и Амстердам, но хостер ТаймВеб :) а openai видимо банит все IP известных хостеров по принципу "убивай всех, Господь отсортирует своих"

Вариант, однозначно рабочий - микротик. Не знаю правда как с бюджетом - у всех свои понятия :)
Вариант, условно рабочий и предполагающий много знания и много траха - openwrt. Берется роутер, поддерживающий openwrt, туда шьется он соответтственно и настраивается.

При отсутствии хотя бы с одной стороны статики (причем белой статики) без сторонних средств задача не имеет решения. В этом случае решение только так, как делает TW, AnyDesk иже с ними - берется некий центр, IP адрес которого известен и подключается к нему в обеих точках. Центр обеспечивает маршрутизацию.

Арендуете VPS, достаточно самый дишман, разворачиваете VPN, который поддерживают узлы, подключаетесь, вперед.

Так очень часто делают говнопровайдеры. Это 100 Мб будет. Максимум.

Все перечисленное можно было бы держать на домашнем сервере (если он будет именно сервер, а не "нечто-дишманское-из-десктопа" или "крутая китайская тачка с али на ксеоне" - с серверной матерью, ECC памятью, ксеонами, IPMI и пр.)

НО есть одно НО, которое вполне возможно вынудит Вас ставить это все хозяйство в ДЦ или арендовать дедик. Имя этому НО - вот эта фраза:

Интернет стабильный 500-600мб, а оплачиваю за 1000мб.

Вот в ней Вы ошибаетесь и ошибаетесь люто. Нет у Вас 500-600. У Вас до 1000. В любом диапазоне.

То есть 1Мб - это тоже не нарушение договора - с физиками SLA не составляют и физикам flat rate не дают (а если дают - дерут как с юрика). Как только Вы начнете топить соседей своим исходящим трафиком (а в стандартной модели сохо входящий намнооооого больше исходящего) - Вас сразу спросят - Вы тут хоум офис открыли? Хорошо, но тогда давайте платите, как юрик.

К себе однозначно стоит забрать почту - если хотите конечно поипаца с доменом, почтовиком, SPF, DKIM и прочими умными и не очень вещами. А так - смотрите ответ AntHTML - он все правильно написал.

squid - стандартное решение для такой вещи. Ставится в локалке, прописывается политиками (для FF/WF иже с ними - руками), на микротике банится выход на 80/443 (хотя вообще говоря нормально - банить все, что не разрешено, потому что есть множество хитровыделанных юзеров).
Можно использовать бампинг, можно нет. Без бампинга статистика будет кривенькая, потому что основана будет только на первоначальном запросе (например https://mail.ru). Потом, уже находясь на mail.ru юзер перейдет на "Знакомства" (если они там есть) - и все, ты видишь, что он на почтовике, а он на самом деле деффок шшупает.
У бампинга есть правда и оборотные стороны - в бухгалтерии могут быть проблемы (сайты клиент-банков обычно защищают посильнее, чем обычные, QUIK опять же), да и сертификаты разворачивать надо, но если нужна относительно точная статистика - без него никак.

Сейчас существует тикетная система

Привязать к ней VCS, который и будет показывать, что было что стало. Поскольку вас несколько, вообще стоит завести отдельный трекер-сервис - чем меньше народу знает про внутриадминскую кухню, тем лучше.
У меня такое реализовано на redmine + svn

Начать надо с вопроса - а даст ли тебе пров заменить его роутер? РТК и МТС запросто не дадут. Поэтому обычно решение тут - роутер прова переводится в режим моста - провом! тебе только заявку подать и получить реквизиты подключения, за ним ставится твой роутер, на котором настраивается подключение к сети прова. Таким образом, роутер прова первращается в тупую железку, а вся раздача идет с твоего роутера.

Уже двадцать раз было сказано - машина с Vipnet - только для vipnet. Во-первых, потому что при работающем випе вся остальная сеть глохнет нахрен (глушится випом), а во-вторых, конторы, которые используют вип для подключения к себе - способы причинить немало неприятностей, если от тебя к ним что-то проползет.
Поэтому виртуалка с випнетом - только для випнета. А работать с нее - через консоль, которую обеспечивает хостер - по-другому никак.

Как обойти Endpoint Security подключиться к клиенту не из сети РФ?

Никак. И об этом уже писали - если на компе работает VPN такого класса, который отрубает все (в режиме - либо VPN, либо Сеть), то пытаясь каким-то образом устроить подключение в режиме VPN - ты запросто привлечешь внимание безопасников той сети, в которую VPN, обычно это "большие ребята" типа РЖД. Точно есть желание с ними бодаться?

Год работал без проблем

...а потом РКН научился его блокировать. И все. И то же будет с другими VPN - пройдет время, РКН научится их блокировать (а может быть вообще ему все надоест и будет белый список)