Hardoman

Настройка Wireguard не делается через RRAS - доступ к сеть определяется через AllowedIPs на сервере. По умолчанию он равен IP адресу сервера с маской /32. Соответственно, можно ходить только в этот хост, и он должен роутить трафик.
Чтобы разрешить доступ куда-то еще - поменяйте AllowedIPs или напишите статические маршруты для этот сетевого интерфейса.

Настройки рабочего стола хранятся в профиле пользователя (иконки, стили. шрифты и т.д.).
Необходимо сделать профиль роуминговым, чтобы он подтягивался по сети.

Не совсем понял про пик1 (его нет на ваших скриншотах) - если это просто текст на рабочем столе, то это настройка никакого отношения к RDP не имеет.
Это текст выводится сторонними программами в оверлее. Программы типа Rainmeter и BGInfo

Nginx имеет бесплатный модуль ngx_http_oidc_module

Также можно прикрутить 2fa к nginx - например, проект Authelia

Traefik не для этого всё-таки придуман.

Wireguard обеспечивает максимальную скорость и пинг, может без проблем 80% от доступного канала выдавать.
Но, вопрос в том, что его блокируют на ТСПУ, и вам надо будет в РКН подавать заявку на whitelist

Прокси - самый плохой и не гарантированный с точки зрения доставки вариант.

Видимо, при подключении rdp клиента, меняется таблица маршрутов, и вероятно, дефолтный гейтвей.

Сравнивайте маршруты до и после подключения, а также гейтвей и dns. Сделайте трассировку на клиентах, когда отвалился инет, куда идёт их трафик. Вероятно, как раз через этот сервер, который в свою очередь, не может выйти в инет, так как у него поменялся дефолтный гейт или тп

Во-первых, клиенты кэшируют у себя dns ответы на срок жизни TTL записи и обращаются к последнему использованному до бесконечности, если эта запись ещё актуальна.
Во-вторых, при первом обращении выбирается первая доступная запись.
Клиент по очереди в списке опрашивает их и возьмёт первую рабочую.
В этой ситуации уже задача DNS сервера каждый раз возвращать список в разном порядке. Он это может делать по разным алгоритмам, чаще всего по round-robin, иногда по меньшему пингу или первому ответившему.

Не понятно, что значит доменка стала на. 27, да и вообще ваша терминология не понятна.
У всех устройств, и доменного контроллера, если это его вы подразумеваете под DC, должен быть статический IP, зарегистрированный в вашем локальном DNS
Это же DNS должен использовать qnap.

Ваши vpn клиенты, подключившись к вашей сети также должны использовать ваш DNS, чтобы знать, какой ip у кого в вашей сети.
DNS обычно объединяют с доменным контроллером, а в микротике его указывают.
Также в микротике необходимо настроить редикерт вашей DNS зоны на ваш DNS сервер в сети, чтобы микротик мог правильно резолвить внутренние хосты в сети.

Очень часто такое встречаю, тк работаю с провайдерами. Связано с ассиметричными маршрутами до vpn сервера вашего у провайдера и обратно, в результате чего пакеты не укладываются в ttl.
Как протестировать?
Собираете трейс и задержки при подключении до вашего vpn сервера напрямую.
Затем или раздаете мобильный интернет или используете другой и собираете то же самое.
Третий тест - заворачиваете трафик до вашего vpn хоста в ещё один vpn туннель. И тестируете.

Любой нормальный провайдер после этого может поменять маршруты у себя.

И да, udp точно отключать не надо, не слушайте бред.

Чтобы ответить точнее на вопрос, необходимо видеть полный лог трейсбека после сообщения остановки процесса

Polling stopped
Traceback (most recent call last):
...

Обычно, поллинг перестаёт работать из-за сетевых проблем.
Известны проблемы с ipv6 совместимостью.

Bot API has well-known issues with accessing via IPv6, so, it is recommended to disable it and prefer to use IPv4 with bots.

1. Добавить URL сайта в доверенные через политику
Также можно настроить доверенные расширения
https://yandex.ru/support/browser-corporate/ru/pol...
Или настроить общие настройки установки расширений
https://yandex.ru/support/browser-corporate/ru/pol...

2. Сконфигурировать AlwaysOpenPdfExternally
https://yandex.ru/support/browser-corporate/ru/pol...

Как развертывать https://yandex.ru/support/browser-corporate/ru/dep...

Ответы выше неверные. Он определяет наличие vpn не по IP, а по списку активных интерфейсов на вашем устройстве. Используйте прокси вместо vpn

Да, точно такая же проблема с Freakhosting, и тоже Германия
Подключение с разных провайдеров, результат один.
Если завернуть wg трафик в другой vpn до wg сервера, то все работает

Также проверил с AmneziaWG - Также не подключается, причём трафик до awg хоста доходит, но в ответе до клиента не доходит

NOD32 предоставляет свой веб-сервер на порту 2221 (по умолчанию он выключен, и эта функция даже не доступна в настройках). Для начала её надо активировать через изменение реестровго ключа
HKEY_LOCAL_MACHINE\SOFTWARE\ESET\ESET Security\CurrentVersion\Info\
PackageFeatures

Его значение разное для разных версий ESET (см. здесь https://ftpn.ru/nod32-change-update-server/)

После активации этой опции в настройках становится доступно создание зеркала обновлений и там же - HTTP сервера.
https://help.eset.com/era/53/ru-RU/ra_mirror_enabl...
Однако, согласно документации ESET, вам никто не мешает опубликовать обновления с зеркала на любом другом web сервере, например IIS.
Если вы уже раздаете так обновления клиентам Windows, то клиенты Linux могут получать его таким же образом с того же веб сервера. Вам только надо настроить на нем правильно авторизацию.
NTLM уже не подойдет для клиентов Linux, вам нужно включить Basic authentication.

По вашему логу видно, что у вас проблемы с аутентификацией - пользователю запрещено подключение:
403 Forbidden

Базы обновлений разных версий не совместимы между собой.
Кроме того, линейка продуктов EST версий 9-13 не совместима с более ранними.

Здесь не проблема с файрволом, иначе бы был другой отлуп.
https://help.mail.ru/notspam-support/errors/ipblock

У многих проблема с отправкой на mail.ru
Некоторым удалось решить проблему с таймаутом так:

/sbin/sysctl -w net.ipv4.tcp_mtu_probing = 1

Если на другие хосты уходит, а mail.ru нет - то он вас забанил.
Если и на другие не уходит - то проблема в вашем конфиге. Сервер не знает куда релеить трафик, чтобы отправить его наружу (настройка mynetworks).

Но в любом случае, как было сказано, надо убедиться:
- что у ISP не заблокирован 25 порт для релеея
- Что ваш сервер не банан у mail.ru (если что, вы тащить можно по заявке https://help.mail.ru/ennotspam-support/ip_block)