CityCat4

Здесь полная схема прохождения пакетов через iptables, в том числе на ней указаны места, где выполняется шифрование/дешифровка пакетов (этот момент обычно опускается). ВАЖНО! Проверка на соответствие политики и расшифровка делается ядром исключительно на основе SAD и SPD, без использования чего-либо еще.

Что можно сделать.

Со стороны линуха посмотреть статистику XFRM - преобразователя пакетов при шифровке-расшифровке:
# cat /proc/net/xfrm_stat

Если счетчик любой ошибки растет - это жжж неспроста. У меня например, была ситуация, когда микротик не вязался с Strongswan из-за хэша SHA256 - у микротика какая-то своя, особенная реализация - два микротика вяжутся без проблем, а вот микротик и strongswan катеорически отказывались. При этом постоянно рос счетчик XfrmInStateProtoError - пакет принимался, но при расшифровке возникала ошибка и его просто отбрасывали, как поврежденный.

Есть еще полезная команда swanctl -l, показывающая состояние соединения.

Так делают довольно часто там, где сэкономили на СКС или вот например как у Вас, провод тянуть ломы. Скорость конечно будет - какая будет, но для 10Мб я думаю, заметно не будет.

Пропадание интернета в "мало ли что" входит? :)

1. Нет. Провайдер - лицо, предоставляющее услуги, в данном случае услуги доступа в тырнет. Подключился к магистральщику, поставил биллинг, выполнил требования СОРМ, получил лицензию - все, провайдер. Как хочет/может/умеет - так и строит сеть, юзер голоснет рублем, если сеть будет кривая.
2. От толщины провайдера, от количества денег, от того, какие планы у него по развитию. Техническая сторона тут может вообще роли не играть.
3. Нет. Связано это отнюдь не с техническими моментами, а в основном с тем, сколько денег вкладывается в развитие
4. Адресная политика провайдера определяется тем, сколько у него блоков IPv4. Поскольку их сейчас даааавно не выдают, приходится быть эффективными менеджерами :) У кого скажем PPPoE - тот скрипит зубами, но дает каждому белый IP, у кого нет - тот может ими торговать, сдавая в аренду, у кого совсем мало - дает серые, выпускает через NAT. Нет ни единой практики ни какого-либо метода указать провайдеру, что он делает неправильно, если он допустим не дает белого IP - возможно у него их просто нет :D. Это может приводить к таким извращениям, как например в г. Красноярске одно время все провайдеры договорились и разделили внутри Красноярска сеть 10.0.0.0/8 :) И начали выдавать клиентам IP из этой сети так, что клиенты других краснояских провайдеров могли к этим IP подключаться. Мне тогда пришлось долго бодаться с саппортом, тыкать им в нос RFC1918...
5. DNS провайдера может по-разному реагировать на запросы из разных подсетей и отдавать разные зоны с разной информацией - не в курсе про такое? DNS гугла например может ничего не знать про IPTV-сервер провайдера и это может быть сделано совершенно намеренно.

vCenter нужен, когда у тебя больше одного хоста. Это:
- централизованное управление всеми хостами в одной консоли
- миграция
- кластеры
... и множество других фенечек, которые в принципе не нужны одинокому хосту.

vnc? Там правда передачи файлов может не быть.

Телепатический сеанс: установление связи...failed

Не, телепаты не в состоянии угадать, хотя бы про какую ось идет речь :) Так что без дополнительной информации никак...

А политика безопасности в вашей большой компании документирована? За сбор информации, да еще полученный со своим обычным доступом конечно вряд ли что будет, но попытка использовать обнаруженные дыры может привести к не слишком приятным последствиям

Если не пищит при этом - скорее всего защита от КЗ сработала, где-то коротит. Либо не запускается процессорный кулер, проц перегревается - и опять сработала защита, но по перегреву. Системник потрошить, все на стол, в том числе и память - если запищит, значит хотя бы до состояния проверки наличия памяти дошел.

Ставите прокси, разумеется блокируете выход в обход оного. Если раздавать будете по IP, обязательно не забудьте статически связать IP с компом :) При всей очевидности совета, его часто забывают. Потом формируются списки ресурсов и связываются с юзерами. Возможно можно сделать и от целевого ресурса (vk.com, facebook.com etc), но у нас сделано от юзеров - юзер включается в группу имеющую права на такой-то и такой-то целевой ресурс и не имеющую прав на такие-то ресурсы.

Обезличенным конфигом squid могу поделиться. Разумеется он копипастом не заработает, только в качестве примера.

Можно.

Есть аж два варианта, один требует более прямых рук, другой - денег.
- установить и настроить на компе VPN, по которому он будет цепляться к другому компу - и ходить через него
- купить у провайдера "белый" IP. ВНИМАНИЕ! Не статический IP, а именно "белый" - потому что хитро#опый оператор может Вам продать постоянный серый IP :D

Микротик ничего не знает о пользователях.
Микротик не интегрируется в AD или еще какую среду (IPA например).
Микротик не знает, что такое NETBIOS.

Микротик знает только IP. Сам не пробовал, но если можно будет снимать статистику в формате ipcad - можно будет считать по IP, портам, etc. Без нормального прокси полноценной статистики не получить.

А размер здания-то каков? А то может микротик захлебнется и лучше модель помощнее заложить.

1. Бюджет?
2. Скорости у филиалов?

Видеонаблюдение будет брать большую часть полосы тырнета, поэтому чем больше будет скорость тем лучше. Имейте в виду, что стоимость подключения для юриков может оказаться весьма неприятным сюрпризом.

Не знаю, как насчет тора, но вообще "прозрачный прокси" - это такой прокси, для работы которого не нужно менять настроек. То есть браузер думает, что работает напрямую, а его запросы втихушку перенаправляются на прокси.

M$ такую схему использует например для проверки доступности тырнета - пинает свои сервера. Если пинга нет - рисует желтый треугольник на значке подключения к сети.

Очень интересная статья.

ЗЫ: Я бы не стал использовать устройство, которое не могу админить. Хрен его знает, что там у него унутре...