Монитрить можно dns запросы, а можно писать tcpdump в целом все, и потом разбирать в Wireshark к примеру, естественно не получите расшифрованный трафик tls для этого в разрез нужно ставить прокси и раскидать клиентам сертификаты
Дефолтный резолвер, всегда отключаю и подымаю unbound, если сервер то пересылка на root сервера, если клиент, то пересылка на роутер или защищеный dns, но чаще стал использовать unbound+adguardhome на серверах.
Ну либо делать зеркалирование трафика на отдельную машину, и такое есть применение для ids/ips хотя скорее только информирование об угрозах будет а не активное противодействие, собственно dpi контроль трафика получите, а вот что вы развернёте это уже на ваш выбор.
Есть wg пока что, в планах поменять на openconnect, развернут adguardhome в конфиге который даёте клиенту прописывается адрес сервера dns, главное чтоб он слушал этот адрес и все, получаете мониторинг, у меня dot adh торчит во вне, доступ по белому списку.
Юрий MikroTik, больше скажу у них и альтернатива есть ГОСТ ssl VPN, почти на Cisco только ГОСТ. Открытой реализации не встречал, хочешь платить и работай не хочешь не работай. Возможный вариант из обозримого будущего
Я бы ещё пошёл через какой нибудь orange pi 3 zero , там и производительности будет более чем, на ней подымаете сервер, делаете на роутере проброс порта.
В моем ТП можно настроить линк ovpn и добавить маршруты которые должны будут идти по нему. На сколько это рабочее не знаю, по этому у меня софтовый ротутер на opnsense
almasvas, mikrotik hex s ну или его младшая версия без sfp порта. TP современные способны aes128 качать нормально, хоть и ругается клиент на этот aes128. Но если нужен полноценный софтовый роутер. Вам тогда в сторону pfsence opnsense openwrt x86 и процессор с поддержкой aes, собственно это мой вариант. Развернут proxmox на мини пк с 4 разъёмами 2.5гб три прокинуто в opnsense. Потребление не большое в районе 8-15 ватт.
Pride_Winner, тогда смотреть на карты вроде такой TP-Link TX401 с чипами Aquantia, я бы мигрировал с esxi после последних событий в компании. На данной волне proxmox упростил миграцию с esxi
Можно так service lighttpd stop
Или /etc/init.d/lighttpd stop