Hardoman

ПО такого полно.
Инфраструктурным стандартом является Hashicorp Vault

В РФ распространен Passwork

Важно! Их не нужно использовать для передачи секретов за пределы контура компании.
Для таких целей можно использовать сервисы разового доступа к секретам, например Bitwarden Send или Password Pusher

Если вы можете подключиться к порту 5678, то проблема не в докере. Вероятно, ваш сервис слушает только на 127.0.0.1 внутри контейнера, а не на 0.0.0.0
Также может быть проблема в файрволе
Пробуйте следующие тесты:
- curl -v 127.0.0.1:5678
- curl -v host_ip:5678

Если WAN порт не может согласовать с портом вышестоящего свитча 1000М, то на это могут быть только физические причины:
- качество кабеля и его категория
- его длина (необходимо, чтобы мастер проверил тестером длину кабеля по каждой из жил, длина должна совпадать и желательно не превышать 90 м). Если длина по разным жилам разная - это говорит об обрыве или частичном повреждении на том расстоянии, которое выдает тестер.
- влияние силовых кабелей: нельзя, чтобы витая пара шла параллельно силовому кабелю. При воздействии эл-магнитного поля силового кабеля в витой паре индуцируется поле, в результате чего порты снижают частоту с 1ГГц до 100 МГц для стабильности. Это происходит автоматически, если количество ошибок доставки пакетов возрастает.
- битый порт на свитче провайдера. Иногда переключение на другой порт помогает.

Скорее всего, доступ по паролю для root запрещен (а это дефолтная конфигурация sshd).
Если вы не добавляли ключ, то подключитесь к серверу через консоль хостера по протоколу VNC и поменяйте конфиг временно
/etc/ssh/sshd_config

PermitRootLogin yes
PasswordAuthentication yes

Также удалите все дополнительные файлы в папке /etc/ssh/sshd_config.d/ (их часто добавляют хостеры при бутстрапе ноды)
Рестартаните сервис, добавьте ключ, проверьте, что вы с ним можете войти и замените обратно на

PermitRootLogin no

Это технически невозможно, скорость ограничивается точками обмена трафика MSK-IX, куда почти все дата-центры подключены.

Вообще то, что вы хотите, противоречит логике фпцловх серверов и Samba. На фпцловх серверах делается или одна общая папка на всех или папка для каждого пользователя.
Папки на клиентских хостах не надо расшаривать. Это не безопасно и не соответствует идеологии централизованного управления.

Чтобы организовать общую сетевую папку Samba, доступную всем пользователям домена FreeIPA, выполните следующие шаги:

### 1. Установка и настройка Samba
```bash
sudo dnf install -y samba samba-client samba-common
```

### 2. Интеграция Samba с FreeIPA
```bash
sudo ipa-adtrust-install --add-sids
```

### 3. Создание общей папки
```bash
sudo mkdir -p /srv/shared
sudo chmod 2770 /srv/shared
sudo chown root:"DOMAIN\users" /srv/shared
```
Замените `DOMAIN` на имя вашего домена.

### 4. Настройка Samba (`/etc/samba/smb.conf`)
```ini
[global]
workgroup = DOMAIN
security = ads
realm = DOMAIN.EXAMPLE.COM
idmap config * : backend = tdb
idmap config * : range = 10000-999999
idmap config DOMAIN : backend = sss
idmap config DOMAIN : range = 10000-999999
winbind use default domain = yes
template shell = /bin/bash
template homedir = /home/%U

[shared]
path = /srv/shared
read only = no
writable = yes
browseable = yes
valid users = @"DOMAIN\users"
force group = "DOMAIN\users"
create mask = 0660
directory mask = 2770
```

### 5. Перезапуск служб
```bash
sudo systemctl restart smb nmb
sudo systemctl enable smb nmb
```

### 6. Настройка доступа через SELinux (если используется)
```bash
sudo semanage fcontext -a -t samba_share_t "/srv/shared(/.*)?"
sudo restorecon -Rv /srv/shared
```

### 7. Проверка доступа
С любого клиента в домене попробуйте подключиться:
```bash
smbclient //server-name/shared -U user-name
```

### Дополнительные настройки (по желанию):
- Для автоматического монтирования добавьте запись в `/etc/fstab`:
```
//server-name/shared /mnt/shared cifs credentials=/etc/samba/credentials,uid=%u,gid=%g,dir_mode=0770,file_mode=0660 0 0
```

Где `/etc/samba/credentials` содержит:
```
username=user
password=pass
domain=DOMAIN
```

Важно: Все пользователи должны быть членами группы "users" в FreeIPA. Проверить можно командой:
```bash
ipa group-show users
```

Если вам нужно, чтобы **каждый Linux-клиент в домене FreeIPA** имел свою расшаренную папку, доступную другим пользователям домена, но **без установки Samba на каждом клиенте**, альтернативой может быть использование **SSHFS + Autofs + Kerberos** или **NFSv4 + Kerberos**.

Но если вам нужен именно **SMB-доступ** (например, для Windows-клиентов), то без установки Samba на каждом хосте не обойтись.

Во-первых, баз GEOIP много и все они различаются.
В разных базах один и тот же IP может быть указан в разных странах.

Во-вторых, блоки IP наши провайдеры берут у ДЦ, где арендуют стойки. И эти блоки адресов переходят их рук в руки и их принадлежность меняется, но это отражается не во всех базах.

Про смену хостера не из РФ - это вообще не обязательно. Десятки наших хостеров, у кого сервера арендованы заграницей определяются корректно. Как я сказал, важно, как были арендованы или вукуплены адреса.

Настройка Wireguard не делается через RRAS - доступ к сеть определяется через AllowedIPs на сервере. По умолчанию он равен IP адресу сервера с маской /32. Соответственно, можно ходить только в этот хост, и он должен роутить трафик.
Чтобы разрешить доступ куда-то еще - поменяйте AllowedIPs или напишите статические маршруты для этот сетевого интерфейса.

Настройки рабочего стола хранятся в профиле пользователя (иконки, стили. шрифты и т.д.).
Необходимо сделать профиль роуминговым, чтобы он подтягивался по сети.

Не совсем понял про пик1 (его нет на ваших скриншотах) - если это просто текст на рабочем столе, то это настройка никакого отношения к RDP не имеет.
Это текст выводится сторонними программами в оверлее. Программы типа Rainmeter и BGInfo

Nginx имеет бесплатный модуль ngx_http_oidc_module

Также можно прикрутить 2fa к nginx - например, проект Authelia

Traefik не для этого всё-таки придуман.

Wireguard обеспечивает максимальную скорость и пинг, может без проблем 80% от доступного канала выдавать.
Но, вопрос в том, что его блокируют на ТСПУ, и вам надо будет в РКН подавать заявку на whitelist

Прокси - самый плохой и не гарантированный с точки зрения доставки вариант.

Видимо, при подключении rdp клиента, меняется таблица маршрутов, и вероятно, дефолтный гейтвей.

Сравнивайте маршруты до и после подключения, а также гейтвей и dns. Сделайте трассировку на клиентах, когда отвалился инет, куда идёт их трафик. Вероятно, как раз через этот сервер, который в свою очередь, не может выйти в инет, так как у него поменялся дефолтный гейт или тп

Во-первых, клиенты кэшируют у себя dns ответы на срок жизни TTL записи и обращаются к последнему использованному до бесконечности, если эта запись ещё актуальна.
Во-вторых, при первом обращении выбирается первая доступная запись.
Клиент по очереди в списке опрашивает их и возьмёт первую рабочую.
В этой ситуации уже задача DNS сервера каждый раз возвращать список в разном порядке. Он это может делать по разным алгоритмам, чаще всего по round-robin, иногда по меньшему пингу или первому ответившему.

Не понятно, что значит доменка стала на. 27, да и вообще ваша терминология не понятна.
У всех устройств, и доменного контроллера, если это его вы подразумеваете под DC, должен быть статический IP, зарегистрированный в вашем локальном DNS
Это же DNS должен использовать qnap.

Ваши vpn клиенты, подключившись к вашей сети также должны использовать ваш DNS, чтобы знать, какой ip у кого в вашей сети.
DNS обычно объединяют с доменным контроллером, а в микротике его указывают.
Также в микротике необходимо настроить редикерт вашей DNS зоны на ваш DNS сервер в сети, чтобы микротик мог правильно резолвить внутренние хосты в сети.

Очень часто такое встречаю, тк работаю с провайдерами. Связано с ассиметричными маршрутами до vpn сервера вашего у провайдера и обратно, в результате чего пакеты не укладываются в ttl.
Как протестировать?
Собираете трейс и задержки при подключении до вашего vpn сервера напрямую.
Затем или раздаете мобильный интернет или используете другой и собираете то же самое.
Третий тест - заворачиваете трафик до вашего vpn хоста в ещё один vpn туннель. И тестируете.

Любой нормальный провайдер после этого может поменять маршруты у себя.

И да, udp точно отключать не надо, не слушайте бред.

Чтобы ответить точнее на вопрос, необходимо видеть полный лог трейсбека после сообщения остановки процесса

Polling stopped
Traceback (most recent call last):
...

Обычно, поллинг перестаёт работать из-за сетевых проблем.
Известны проблемы с ipv6 совместимостью.

Bot API has well-known issues with accessing via IPv6, so, it is recommended to disable it and prefer to use IPv4 with bots.

1. Добавить URL сайта в доверенные через политику
Также можно настроить доверенные расширения
https://yandex.ru/support/browser-corporate/ru/pol...
Или настроить общие настройки установки расширений
https://yandex.ru/support/browser-corporate/ru/pol...

2. Сконфигурировать AlwaysOpenPdfExternally
https://yandex.ru/support/browser-corporate/ru/pol...

Как развертывать https://yandex.ru/support/browser-corporate/ru/dep...

Ответы выше неверные. Он определяет наличие vpn не по IP, а по списку активных интерфейсов на вашем устройстве. Используйте прокси вместо vpn