Dj0cker

Mikrotik Fail2Ban - смотрим в гугле
P.S. но лучше настроить нормально... разрешить, что разрешено, а остальное drop. Зачем без толку есть ресурсы роутера?

Вариант (1): на микротике выкинуть из бриджа порт, идущий на тот роутер, т.е. участок между микротиком и тем роутером выделить в отдельный сегмент сети с отдельной адресацией; настроить маршрутизацию на микротике.
Сложность: т.к. адрес и маску на том роутере нельзя трогать, то вместо этого пришлось бы менять адресацию в основной локальной сети микротика; это может быть не совсем удобно.
Поэтому вот вариант (2): https://www.google.com/search?q=dhcp+snooping+mikrotik

Вы должны понимать, что "железный" в вашем примере - это не ВПН реализованный в "чипе". В микротиках есть свой процессор, на котором крутится операционная система, ВПН там реализуется точно так же как и программный вариант, даже с высокой вероятностью используется то же самое ПО, которое вы бы использовали в программном варианте. Но часто производители железок модифицируют ПО под свое понимание проблемы и какой-то функционал, который работает в стандартном варианте в железке работает не так или не работает вовсе. У некоторых производителей железок есть своя собственная реализация ВПН.

Но если вы плохо разбираетесь в теме (или у вас нет человека разбирающегося в теме), то есть смысл использовать ВПН встроенный в роутер. Там по крайней мере из коробки обычно есть более-менее сносный веб интерфейс и настроить ВПН в принципе не сложно.

Впрочем в "программном" варианте можно то же прикрутить интерфейс и возможностей по настройке больше, но это потребует более глубоких знаний.

Кстати, никто не запрещает делать "гибридный" ВПН. Если в железке ВПН реализован с использованием каких-то стандартных протоколов, то вы можете использовать и его программный вариант в тех точках где это будет удобно, а в других местах использовать "железный" ВПН. В общем нет никакого смысла себя загонять в рамки железный/программный - действуйте по обстоятельствам.

На счет белых IP - для ВПН вам понадобится хотя бы 1 белый статический адрес, на нем вы развернете ВПН сервер. Можно использовать схему динамический белый адрес + DDNS, но это так себе идея. ВПН клиенты могут использовать серые адреса. Под ВПН сервер вы можете арендовать VPS или развернуть его где-то на своей площадке где уже есть белый адрес.

Есть два способа получения IPv6

можно по DHCPv6-PD

а можно через SLAAC это более современный настройте на микротике да и все

https://www.debian.org/doc/manuals/debian-handbook...

https://wiki.ubuntu.com/IPv6

Компы в отдельный VLAN, принтеры если через принтсервер то тоже можно в отдельный, камеры и видеорегистратор тоже в отдельный - это все по портам.
На точки бросить 2 VLANa и пробросить их на WLAN (один своя сеть, второй гостевая - чисто интернет)
Маршрутизацию между вланами делать на 3010

Ставить то что знаете.
Что именно не принципиально, сеть не большая.
Из не дорогих и приличных mikrotik и ubiquiti. Первый лучше как роутеры, второй как wifi.
Еще очень интересные железки из не слишком дорогих есть у zyxel.
Лично я предпочитаю mikrotik, по нему очень много мануалов достаточно подробных и приличного качества, плюс его легко купить, много и в наличии.
Коммутаторы не принципиально, если нужно poe можно взять cisco sb( например sf300p ), вообщем любые управляемые, можно из тех же mikrotik или ubiquti.

Выбор конкретных моделей будет зависит от физической конфигурации объекта, требовании в температурным и погодным режимам, питанию.

Маршрутизатор оптимально микротик для таких задач, можно и циску. Смотря какие требования к маршрутизатору у вас, у каждого есть свои достоинства и недостатки.

По поводу коммутаторов - можно управляемые, можно и нет, вам решать в зависимости от бюджета, и разветвленности сети. В случае с управляемым проще диагностировать и устранять проблемы при минимуме телодвижений, вопрос лишь в том позволяет ли ваш бюджет оплатить это удобство. Ну по требованиям безопасности(да и удобства) возможно придется разнести компьютеры, камеры и AP по разным виланам.

И нужно вайфай "разогнать" другие точки доступа на 5ГГц TP-LINK EAP225.

Зависит от требований к сети, количеству абонентов и состоянию эфира. Из недорогих и управляемых - MikroTik hAP ac2 и аналоги.

vpn да, но и не единственный вариант*. по сути вам надо что бы ноут работал роутером. тут нет ни чего невозможного. даже ни какой магии. только базовый ликбез

начнем с того, что

сервер с белым айпи и открытыми нужными портами для работы терминала

может быть и не нужен (с большой вероятностью, если не хотите брать у МТС фиксированный ip)

начните с более простого решения (при условии понимания базовых вещей) допустим - https://ngrok.com/ (бесплатно, но без гарантии скорости и трафика.. по опыту, для малого трафика - выше крыши)
что бы опубликовать порты терминала, вам надо, что бы его локальный адрес тоже был фиксированным, остальное дело техники (и чтения+понимания инструкций)

добейтесь результата - доступа к терминалу "из вне".. а дальше, думаю вам все станет на много понятнее, и проще будет выбрать оптимальное решение

upd по моему твердому убеждению, через ngrok, проще получить первый рабочий макет. после чего, будет понятно - ноут=роутер, ngrok="внешний сервер" (напомню, бесплатный).. набив руку, при наличии профита с этой связки, сможете приобрести именно роутер с фишками сотовой связи и правильно настроить свой внешний сервер (ну или продолжать юзать ngrok)

upd 2 * - вообще, основная задача vpn не роутить, а прятать контент трафика, возможность сложного роутинга, там лишь вторичное свойство