АртемЪ

Какая железка потянет такое?

Да любая умеющая создавать более одной точки доступа.

Но слышал этот боец не справляется с нагрузкой множественных wifi подключений.

Неправда.
Не справиться с множеством подключений можно по двум причинам-

• Самая популярная - множество подключений банально загаживают эфир до невозможности работать. Тут от железки вообще не зависит, любая не справиться.
  
• Не справляется процессор с обработкой пакетов в частности с шифрованием - ну это явно не тот случай.
  

Также интересно масштабирование до 100 и больше одновременных вайфаев.

Да пофиг в принципе. Накладных расходов на создание точки доступа не так уж и много - ну будет побольше биконов рассылать, в эфир сильнее гадить. Поэтом масштабируйте на здоровье. Только непонятно для чего оно такое счастье надо?

В общем - между случаем когда у вас 1 точка доступа и 5 клиентов и случаем когда у вас 5 точек доступа и 5клиентов разницы нет в плане нагрузки.

Монитор ресурсов на сервере показывает 15-20 мегабит в сек. использования сети, насколько я понимаю сюда не входит использование сети другими пк.

Не факт.
Неизвестно как у вас построена сеть может кто-то выходит в интернет минуя ваш шлюз.

Как реализовано подключение к провайдеру? Оптика, витая пара? Куда физически приходит провод от првовайдера? Какое оборудование стоит между проводом провайдера и вашим шлюзом?

Хочу реализовать это всё с помощью свободных портов (например с 49001 до 49150) но не хватает знаний, чтоб сделать это правильно

Не совсем понятна суть вопроса.
Что там можно сделать неправильно?
Например если для винбокс -
Просто пробрасываете порт 49001 на порт 8291 маршрутизатор номер 1, 49002 на порт 8291 маршрутизатор номер два, и.т.д.

Но вопрос в доступе для БРАНЧ хостов

Это что за звери такие?

Если просто настроить проброс по 80 порту сделать то открывает страницу IIS, хоть пиши в Hosts что угодно

Не бывает такого. Значит не сделали запись, или неправильно сделали.
Проверьте файл hosts на всех клиентах и убедитесь что нужная запись там есть.

Вероятнее всего у вас просто нет белого IP адреса и подключиться к вашему компьютеру из внешней сети невозможно.
А порты вы пробросили.

Любой линукс в том числе и openwrt и микротик - да что угодно. Что будет удобней в данной ситуации.

Непонятно с чего бы провайдеру блокировать тоннель - никогда с таким не сталкивался, скорее всего просто технические проблемы.

А так - посмотрите в сторону SoftEther их фирменный протокол работает через SSL по стандартному порту - в общем обычный https трафик.

Да и вообще - чем вам SSH не угодил? Вместо VPN сервера поставьте SSH сервер, и нехай эти убунты по SSH к нему коннектятся. Тот же VPN по сути.

Получилось так что люди без спроса подключились в локальную сеть

А сторож и охрана куда смотрит? Левые люди ходят по территории предприятия и свободно подключаются к коммуникациям?

получили доступ к локальным ресурсам.

А имя пользователя и пароль они откуда узнали?

Сделать сеть dhcp не вариант.

А почему не вариант? Вроде самый удобный способ, неужели еще кто-то руками прописывает?

В наличии имеется динамический "серый" ip от провайдера.

Подключиться к серому IP адресу из внешней сети невозможно.
Если хотите чтобы к вам подключались - берите белый адрес.

Как можно размножить свой домашний IP?

Непонятно что вы вообще хотите сделать.
Создать у себя прокси сервер? Тогда при чем тут размножение IP ?
Ходить на ресурсы через разные адреса - ну тогда находите прокси лист и ходите через разные прокси, но тогда непонятно при чем тут ваши адреса?

Если провайдер попросил выключить DHCP на сетевом подключении, нужно свой IPv4 ввести?

Непонятно что именно попросил провайдер.
Что значит выключить DHCP ? Речь о сервере или о клиенте.
Вы сначала точно узнайте что нужно провайдеру.

А так можно только гадать - может вы врубили DHCP сервер в сети провайдера и создаете ему проблемы, хотя в этом случае обычно провайдер не цацкается, а сам вас вырубает нафиг. Может вам нужно просто не запрашивать адрес по DHCP а вбить руками.

но 2ip.ru пишет что зарыт, почему так ?

Потому что смотрите на 2ip.ru
Вы все сделали правильно, на роутере порт открыт.
2ip.ru показывает IP адрес с которого вы вышли в интернет - там конечно же порт закрыт.
А все потому, что у вас нет белого IP адреса.

провайдер выдает то серые, то белые ip-адреса

Вряд ли такое возможно. Обычно один диапазон адресов.

не разбирался, может и только белые, но с некоторых нет ответа из вне

Больше похоже на проблемы ddns.

нужно, чтобы сам роутер при запросе адреса server.ddnsname.org шел на внешние dns-сервера и получал внешний ip-адрес

Не понятно для чего.
Если к вам подключается клиент из внешки - адрес ему даст ddnsname.org
Если к вам подключается клиент из локалки - адрес ему даст роутер для этого ему нужно прописать нужный адрес в HOST.

Не совсем понятно для чего роутеру нужно ходить на внешние DNS сервера для получения своего IP - или я неправильно понял цель?
И непонятно как этому мешает прописанный в HOSTS адрес сервера приложений?

Ну батничек например вроде такого.

netsh interface ip set dns "Ваше L2TP подключение"  static 8.8.8.8

Можно запихать в планировщик чтобы автоматом менял при подключении.

Для работы мегабита на 10 человек точно хватит.
Если конечно они там кино смотреть не желают, и огромные файлы через буфер обмена таскать.
Там главное пинг и джиттер чтобы в пределах нормы были.

Сервер предположительно будет находиться в европпе.

Это может быть большой проблемой. И далеко не факт, чтоб будет плавно.

Поскольку у вас весь трафик идет через вашу машину - запускаете на этой машине wireshark и читаете трафик.

Подключите свой одноплатник к роутеру.
Либо поменяйте на роутере адрес на 192.168.0.1 и настройки DHCP соответственно.

минус -не уверен что зависший просесс в состояние сподвигнуть девайс на перезагрузку.

Суть работы ватчдога как раз в том чтобы перезагружать если процесс завис.
Пока процесс нормально работает он шлет сообщения ватчдогу, и все хорошо.
Если процесс завис - ватчдог не получает сообщений от процесса, и перезагружает систему.

КВМ что-то вроде но я так понимаю там цена от штуки баксов и выше, скорее выше.

Ну там и функций побольше, можно удаленно настройки BIOS поменять, систему переустановить. В некоторых десктопных интеловских системах такая штука встроена.

Если вам удаленно питанием рулить надо - есть розетки с управлением через интернет.
типа такого -https://mysku.ru/blog/aliexpress/16275.html

Как можно сделать через Openvpn несколько подключение одновременно

Создайте нужное количество TAP адаптеров.

Понятно, что раз айпи один, то придется заводить для них разные доменные имена, по которым сервер будет определять путь запроса.

Мне непонятно. Зачем городить такое, когда хватит одного доменного имени example.com?

возможно ли сделать так, чтобы основной сервер работал как роутер, и при при запросе, допустим, в pbx.example.com он все запросы по любым портам отправлял вм с телефонией,

Сделать чтобы сервер работал как роутер - без проблем.
Только вот вы похоже роутер с прокси сервером путаете.
Задача роутера - маршрутизировать трафик. Роутер вообще не знает что такое corp.example.com, и никак такую фигню обрабатывать не может, он знает только IP адрес и порт, без всяких буковок с точками.

С доменными именами работает либо веб сервер, либо прокси сервер, вот прокси как раз и может завернуть трафик куда-нибудь на основе доменного имени.

В вашем случае логичнее сделать так - все сервисы подключаются по имени example.com, которое резольвиться в ваш IP. Телефония будет идти по какому-то конкретному порту, поэтому сервер или роутер которому назначен этот IP должен будет перебрасывать пакеты приходящие на этот порт на сервер телефонии, а пакеты приходящие на 80порт на веб сервер, соответственно пакеты приходящие на 1с тоже будут перебрасываться на нужный сервер в зависимости от порта на который они пришли.

Логичнее и удобнее делать это на роутере, да и белый адрес как правило в таких сетях назначается именно роутеру. Сомневаюсь что у вас белый IP адрес висит на интерфейсе Windows сервера. Так что проброс портов все равно делать придется.