Mystray

HTTP-клиент (браузер, к примеру) при запросе странцы, среди прочих заголовков передает заголовк Host: в котором, собственно, и указывает домаенное имя, к которому стучится. Сервер этот заголовок видит и обрабатывает соответственно.
В HTTPS (TLS/SSL) для этого есть специальное поле SNI, использующееся для того же самого.

Пользователи, в подавляющем большинстве, любят, когда им отвечает человек. Те, кто не любит голосовое общение с человеком - изначально будут выбирать другие каналы коммуникации.
А вот блуждание по голосовым пунктам меню - это практически всегда челлендж и негативные впечатления, особенно, если они выстроены неидеально, или произносятся медленно, или пункт не выбирается мгновенно до конца речи, или много еще других мелочей, способных приводить в ярость клиентов, которые и без того звонят с проблемой.
Без хорошего опыта я бы советовал ограничиться IVR на уровне максимум "нажмите 1 для связи с менеджером по продажам, 2 - если хотите связаться с инженером технической поддержки, 3 - по вопросам оплаты", если подобные схемы применимы в вашей организации.
Если же сильно хочется снять нагрузку с более-менее квалифицированных инженеров, и не получить при этом кучу негатива - смотрите в сторону арендуемых колл-центров, которым можно выдать четкий алгоритм (что выяснить у клиента, что предложить выполнить, куда отправлять далее в таких-то и таких-то случаях). Это, безусловно, дороже, чем глупый наколеночный IVR, но гораздо менее болезненно для пользователей (хотя и там, конечно, хватает проблем).

Старый-старый добрый RANCID - идет на девайсы по списку, выполняет там некоторые команды, делает что-то с выводом этих команд, сохраняет обделанный вывод куда-нибудь, в cvs например, еще и шлет на почту диффы, если надо.
Почти то же самое, но с подкатами и смузи: oxidized (модный руби вместо старика перла, встроенные git, веб-гуй).
bash+ssh+scp - по вкусу, пишется за несколько часов.

Всячески рекомендую VyOS - это дебиан, обвязанный скриптами, делающими его похожим по использованию на Junos, и сохраняя возможность поковыряться в линуксовых кишках.
Есть реализации основных сетевых протоколов и технологий (bgp, ospf, firewall/nat, туннели и всякое другое по мелочи). Удобный терминал с подсказками. В потрохах - Quagga, которая делалась как клон Cisco, так что при обретении опыта с VyOS и Циски и Джуны будут казаться близкими родственниками.
Кроме того, всегда есть обычный линуксовый bash и остальное, что дает возможность и его завхатить.

Управляемый - D-Link DGS-1510-28L/ME
Неуправляемый - D-Link DGS-1026X
С POE обойдется значительно дороже.

Между разными IP-подсетями маршрутизация в любом случае будет идти через CPU, никакой свич-чип тут не поможет (кроме полноценных L3-коммутаторов с IP-интерфейсами на вланах, но Mikrotik к ним не относится).

virtio0: /dev/disk/by-uuid/1234124-1242134-132423-123412

?

no ip proxy-arp на интерфейсах Циски.

Это потому, что linux все, что предназначено ему самому -- никогда и не будет слать наружу.
Возможный выход - один из интерфейсов переместить в выделенный Network Namespace. Тогда из основной системы этот интерфейс пропадет и появится уже в этом namespace, вместе со своей, отдельной таблицей маршрутизации и правилами фаервола.
Соответственно и одно из приложений так же запускать внутри этого namespace.
Но следует учитывать, что и приложение будет или работать в основной системе, или работать в этом namespace, и никакого сетевого взаимодействия кроме как через "снаружи" у них не будет (если не сделать этого явно)

не должно быть - второй провайдер (мой внешний адрес) должен быть недоступен, поскольку роутер не знает (не должен знать), как правильно отвечать на запросы на второй адрес.

С какой это стати он не должен? У него есть 0.0.0.0/0 - этого вполне достаточно, чтоб отправить ответ на запрос с ЛЮБОГО адреса в интернете. Маршрутизация -- она, знаете ли, не учитывает (без особой магии вроде PBR или VRF) Source-адреса. Все, что ей надо - это адрес назначения.
Другой вопрос, что все толковые провайдеры не позволяют своим клиентам в Source писать что попало вместо выданного клиенту адресу, а ваш позволяет, и потому приходит запрос на белый адрес второго провайдера, а ответ улетает с соурсом второго но -- через первого. Никакой магии.

Через -t nat проходит только первый пакет из каждого соединения, и он должен быть в состоянии коннтрека NEW, все остальные "отначенные" пакеты в рамках соединения "визуально" не проходят через эту таблицу, и не считаются, хоть и натятся.
А если у вас изначально пролетают пакеты в состоянии "INVALID", то они тоже не пройдут через -t nat. Не нравится такое поведение - делайте -I FORWARD -m state --state INVALID -j DROP

подскажите как его автоматически чистить

Никак не надо его чистить - система сама очистит его при необходимости выделения памяти для приложения.
www.linuxatemyram.ru
а по поводу падучего Mysql - смотрите конкретные настройки самого Mysql и лимиты системы (ulimit к примеру)

пытаюсь выполнить ssh 192.168.0.4 -p 2222 получаю фигу

Логично, ведь на 192.168.0.4 слушается 22 порт.
Стучаться надо на ssh 192.168.0.2 -p 2222, тогда 192.168.0.2 поменяет в соединении адреса и перенаправит запрос на 192.168.0.4, пр чем от своего имени-адреса

virt-what

root@srv:~# apt install virt-what
...
root@srv:~# virt-what
openvz
root@srv:~#