Ragnar Black

Проблема с кабелем/коннектором, только по невозможности согласовать микрот будет сбрасыват на более медленные.. Переобожмите, либо приобретите готовые патчкорды

Собрали всё в кучу, это нормально, когда только постигаешь linux.
btrfs и zfs - файловые системы, буквы fs в аббревиатурах намекаю.
lvm и mdadm - не файловые системы, это технологии ниже файловых систем. lvm - менеджер логических томов, с его помощью вы создаете разделы на дисках, только функционал у него больше чем просто разделы на диске.
mdadm - ПО для создания raid - объединения дисков в отказоустойчивый кластер, скажем так.
получается следующее:
mdadm - уровень дисков
lvm - уровень разделов
btrfs,zfs и прочие fs - уровень файловой системы
Что применять и как - решать только Вам исходя из Ваших задач и желаний

Использовать позволило "запретить все, что не разрешено". Например разрешить только трафик 53/tcp,udp 80,443/tcp, а остальное , не соответствующее этим правилам пойдет в блок
Также поставить ограничение на количество пакетов в секунду от каждого клиента. Получается, если пойдет массированная атака, а не обычное использование, то "злоумышленник" сломает ноги от ваш firewall

vagrant
разрабатывался как утилита для управления виртуальными машинами, написан на руби, Vagrantfile пишутся тоже на руби, но синтаксис простой, поняв документацию будет уже достаточно.
Можете использовать разных провайдеров для автонакатки: bash, docker, ansible -подробнее в документации.
Больше подходит, чем рекомендованный терраформ тем, что терраформ инструмент для "облаков", а вагрант для вм'ок. Как могли заметить, если успели попробовать, терраформу надо указывать бокс вручную, когда вагрант работает со своим registry напрямую

Рекомендую взять роутер mikrotik rb5009 или rb4011, у обоих моделей присутствует sfp+.
1.1) заказать на ali модуль и подключить провайдера напрямую.
1.2) Либо превратить роутер rt в bridge и к нему новый роутер, тогда наличие sfp уже не так критично, но производительность у обоих моделей на высоте.

Костыльный вариант это раскурочить роутер РТ и на ключевые элементы поставить по радиатору для ssd nvme через термопрокладку

Поставить обратный прокси-сервер в дц финляндии. Клиент шлёт запрос на подключение к серверу по ip vds пограничного сервера, а тот перенаправляет на ваш сервер в СПб.
Вам может потребоваться nginx с модулем stream, но он не поставляется по умолчанию, поэтому вам придётся собрать его из исходников.
Появятся дополнительные вопросы, задавайте в комментарии.

Не выбирайте сети класса А и С, возьмите В, так как они не так сильно распространены, а количества адресов будет достаточно для предприятия. Для сети 172.16.0.0/12 будет доступно (по данным калькулятора) 1 048 576 адресов - вам должно хватить.). Но, естественно, не забываем про широковещательный трафик, так что сетки будут желательно с 24 битной маской

IP адреса задаются от ваших задач. Например если вам не нужно, чтобы пользователи в своих вланах видели коммутаторы, то в этих вланах Вы не задаёте адресацию, устанавливаете адреса только на интерфейсе маршрутизатора (тот самый default gateway для клиентов). Для управления же создаётся отдельный влан, в котором вы и будете назначать адреса, можете вручную, а можете и с помощью dhcp

Это примерно всё. Если остались вопросы - пишите сюда в комментарии

помещаете провайдеров по отдельным vlan, одна локальная сеть - влан первого провайдера, вторую локальную сеть во второй vlan со вторым провайдером, а дальше как обычно - ip адреса, gateway и прочее.

В ROS 7.4beta4 вернули контейнеризацию.
Качаете файлы сайта во внутреннюю память, поднимаете контейнер nginx (например) с указанием этих директорий.
но на rb2011 не получится, там mipsbe процессор, а нужен arm или x86

Важные навыки сис.админа: понимание работы сети, ccna для начала будет достаточно, узнаете как работает сеть как работать с оборудованием, протоколы, диагностика и многое другое; знание операционных систем на уровне администратора, windows/win.server, популярные дистрибутивы на linux (debian,centos,ubuntu,[oracle,rhel]).
Обычно путь начинается с инженера тех.поддержки или младшего системного администратора (ака помощника системного администратора ака эникея). Малый и около-средний бизнес для вас, там нужно знать всё, но достаточно понемногу.

1) Ovpn делается шлюзом по умолчанию одной галкой на клиенте «add to default route» в настройках интерфейса.
2) при маркировки трафика сначал должны отмаркировать соединения и только потом маркировать пакеты/маршруты. Далее как настраивать Вы уже знаете: в роутах добавить маршрут для четырех нулей в интерфейс овпн клиента для маркированных роутов. Чтобы не городить наты, добавить маршрутизацию между роутером с сетью локальной и сетью на сервере ВПН, статикой или динамикой - как вам удобнее

Для обучения микротик рекомендую eve-ng. Создается эмуляция почти настоящей железки с полным функционалом на сколько позволит хостовая система. На такие машины будут установлены CHR (cloud hosted router), единственное ограничение, это скорость порта 1Mbit/s на free. если не планируете гонять огромный трафик внутри системы, то хватит.

Конечно в идеале лучше будет купить пару hap или hap lite и тренироваться на них.

Никогда не используйте netmap для проброса портов. Указываете chain=dst-nat action=dst-nat и всё заработает.
Почему не работает сейчас: последнее правило в forward "

add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1

" то есть вы пытаетесь получить доступ к хосту в вашей локальной сети, но это правило отбрасывает весь трафик инициализированный из вне.

Подклбчаетесь через веб интерфейс хостинг провайдера к вашей виртуальной машине, завершает её работу, подключите образ clonezilla, клонирует диск в файл.
На новой vps делаете тоже самое до момента подключения образа clonezilla, выбираете тот файл с образом старой системы и ждёте завершения процесса
Размер диска целевого vps должен быть равен или больше исходного или можгут возникнуть проблемы

Если эта железка шлюз по умолчанию, то ничего делать дополнительно не надо. главное, чтобы в форварде не было запретов на обмен между сетями

САМЫЙ производительный - это wireguard.
даже без аппаратного шифрования wireguard показывается великолепные результаты по сравнению с l2tp+ipsec, openvpn

У вас ядро слабенький коммутатор, а нужен маршрутизатор типа rb4011/rb5009 или tile.

1) не важно где у вас dhcp и dns
2) курите маны
3.1) l2tp не лучшее решение, используйте openvpn
3.2) если микрот gateway, то никаких пробросов не надо, он уже доступен по внешнему ip
3.3) с помощью firewall

У вас там CHR? Активируйте лицензию через личный кабинет на сайте MikroTik.
По умолчанию на CHR в режиме free все порты работаю на скорости до 1Mbps