CityCat4

Посмотреть по превым трем байтам мака, кто производитель и прикинуть, что это за устройство может быть. Если вдруг окажется какая-то дичь - это может быть мак, установленный вручную.

Потому что всем, кому нужен белый IP, всем он нужен статический - для того, чтобы поднять сервис. Динамический белый IP нужен спамерам, чтобы нагадить, а потом сказать "я - не я, #опа не моя".
После чего пров остается выгребать гумно из SpamHaus, барракуды и прочих черных списков. А количество IP у них - ограничено, потому что свободные блоки IPv4 давно закончились, сейчас все занимаются только тем, что скупают блоки "покойников" (компаний, зарегивших блок, но ушедших с рынка) или делятся тем, что успели нахоботить.

Чудес не бывает - ну с техникой, по крайней мере.

Берете роутер, ставите в разрыв между провом и компом. Роутер берете такой, чтобы трафик можно было посмотреть. И смотрите на роутере - правда ли что флуд и что это за нафиг. Если просто бессмысленный мусор или постоянные переповторы - есть вариант, что пушистый зверек прогрыз карточку. Если осмысленное сканирование и поиск - это вирусяка.

robtex.com

wireshark

Я думаю,он просто DNS перехватывает. Нужно трафик DNS гнать через VPN.

Неужели мне одному интересна авторизация по паролю?)

Видимо, да. Авторизация по паролю имеет некоторые преимущества, конечно (если пароль не запомнен в компе, а запомнен в голове) - например, его украсть невозможно. Если же он запомнен на компе - в режиме авторизации по паролю нет никаких преимуществ.
В документации на strongswan есть все мыслимые и немыслимые примеры сочетаний - придется конечно попыхтеть, чтобы приспособить их к микротику, но может быть и получится. А может быть и нет - это зависит от того, что там было реализовано в поддержке IKEv2

Пользователь не должен вообще никак возиться со скачиванием и установкой сертификатов.

Разумеется. Это за него должен делать админ. Либо вручную, либо наваять скрипт на vbs. Безопасность - она всегда перпердикулярна удобству :)

Взять инструкцию, почитать и настроить. Я гляжу, там полноценный IPSec имеет место быть. Это есть гуд :) Хотя конечно поипаца придется, IPSec - вовсе не нубская тема :)

С олиферов, конечно же ;)

Ну, вопрос наличия (или отсутствия) сервера дома тут обсуждался сто тыщ мильенов раз.
Если Вы не админ - лучше всего идти на хостинг - потому что там решены все админские задачи типа бэкапа, электричества и запасных частей к серверу
Если не хотите/не можете на хостинг - берите VPS. Там решена часть админских задач - вопросы эксплуатации сервера (железки) берет на себя провайдер, а вот вопросы работоспособности сервера (VPS) - обеспечиваете Вы сами, бэкапы тоже обычно сами, хотя можно договориться с провайдером.

DameWare. Платно. Только под Windows.

Прежде чем отвечать, хотелось бы уточнить - а деньги на лицензирование всего этого Щастья (usergate, traffic inspector etc.) - имеются или как обычно?
Прокси не обязательно иметь два интерфейса. Это упрощает работу, но обязательным условием не является. Запрос приходит на прокси через eth0 например, на нем проксируется и уходит уже от имени прокси через тот же eth0 наружу. Минус в том, что это зело нагрузит тот сетевой порт, на котором прокси висит.

И да, без бапминга статистика будет неполной и неточной.

Элементарно, Ватсон!

Если пакет зашел через интерфейс eth3 и хочет уйти через eth1 (обычно у домашних роутеров тырнет на eth1) , то ф топку его!
Если пакет пришел от устройства с IP ... и хочет уйти через eth1 - ф топку его!

Да можно конечно

Начнем с простого - в настройках WAN роутера что указано?

trafstat/trafd, если он еще жив.
Или любой коллектор траффика на базе netflow.

Но надо понимать, что netflow дает только ip адреса источника и приемника и обьем переданных данных. Это не слишком удобоваримая статистика, поэтому скорее всего придется пересмотреть постановку задачи

Если звезды зажигают - значит это кому-нибудь нужно (С) В.В. Маяковский

Если IKE переходит на 4500 - значит где-то есть NAT-T. Запретите его (если удастся) - и туннеля не будет :)

Стандартная схема:
- весь тафик пускается через прокси (в данном случае прокси - это машина, а не сервис)
либо
- весь трафик идет через роутер, веб-трафик - через прокси
- прокси с бампингом для того, чтобы видеть что внутри https
- прокси формирует логи, которые парсятся анализаторами
- весь "прямой" трафик через роутер с рабочих станций отрубается, чтобы исключить умников, которые начнут использовать веб-vpn, сторонние прокси, пробросы на домашние компы и еще сто тыщ мильенов способов "обмануть админа" (на самом деле обмануть его нельзя)

В качестве прокси (сервиса) обычно используется squid.

Размер имеет значение :)

Во-первых, держать на роутере, имеющей выход в тырнет, функционал внутренней сети - небезопасно. Роутеру - роутерово. Во-вторых, админы-виндовозники предопчитают виндовые оснастки для работы, а они есть только в винде :)