TheBigBear

Обычным НАТом. Он работает в обе стороны
У меня так реальный IP RDP сервера скрыт
у пользователей прописан IP "белого" сервера-пустышки, а микротике таким образом- реальный "рабочего" сервера
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.2.3.4 protocol=tcp to-addresses=172.16.1.1

Если почта нужна только для пересылки писем без всяких "плюшек" и интеграции с AD - проще пользоваться внешними решениями.
Например mail.ru для бизнеса. Без доп функционала - бесплатно.
У нескольких моих клиентов как настроил - лет 5 как полёт нормальный.
Из плюсов - никакого сервера - меньше работ по обслуживанию. Почта на сматфоне - легко. Размер ящиков не ограничен. Хочешь - outlook - хочешь вэб-интерфейс. Не реклама.
Из минусов - есть геморрой с разблокировкой если какой-нибудь ящик блокируют за "спам". Нет уверенности что не контролируется ФСБ (хотя если честно то пофиг)

Примерно у половины моих клиентов по много лет стоит Cobian Backup. У одного вообще больше 10 лет непрерывно работает. Правда эта программа предназначена в основном для пользовательских машин.
У остальных стандартные средства "Система архивации данных Windows Server" или шары на Synology

Сколько машин в сети 192.168.20.0/24 ?
Если всего одна - зачем такие сложности?
На первой машине объединить обе сетевухи в мост и второй машине дать IP из диапазона 192.168.10.0/24
Что касается доступа к SQL - скорей всего просто файервол не пускает.
Проверь что порт 1433 находится в исключениях
На хосте я так понял Win10? Как он сети идентифицирует? (сеть предприятия или общественная)

Раз сеть домашняя и сервер для экспериментов...
На роутере ручками в настройках DHCP в полях DNS указать IP адрес AD сервера ВТОРЫМ (первым - либо провайдера, либо 8.8.8.8)
Это избавит от проблем с Интернетом в то время, когда AD сервер по каким-либо причинам будет выключен (и соответственно DNS-сервер на нём). Т.е. наличие Интернета для всяких гаджетов не будет зависеть от сервера
Основной роутер какой? Не проще ли на нём поднять VPN-сервер?
Или Вы хотите просто экспериментировать и самообучаться?

Доступ в корпоративную сеть только через "белый список" МАС-адресов
Телефоны сотрудников - в гостевую сеть с авторизацией (ну или раз в неделю меняй пароль)

Я так понимаю - DHCP-сервер поднят на той-же машине что и AD?
Смотрите логи.
Lease time у адресов какой? Может старые адреса не освободились, а пул закончился? (у меня раз такое было)
Если вручную прописать айпишник - сервер AD пингуется?
виртуальный коммутатор не могли изолировать нечаянно?

Всё-таки лучше по предметам. Так понятней. Олимпиада - как-то вторична, а вот сканы книг, готовые решения и прочее касающееся конкретного предмета будет в одном месте.
И ещё совет не по Вашему вопросу. Обязательно делайте регулярные бэкапы. Я на своей шкуре это осознал когда много лет назад переустанавливая систему стёр папку со своей дипломной работой.

Ну вы сравнили в цене "полноценный ноут" за 100к (т.е. мощный) и микрокомпьютер...
К тому же к микрокомпьютеру понадобится клавиатура с мышкой - вот еще дополнительный вес и место
Отсутствие аккумулятора может негативно сказаться на работе в местах с нестабильным электричеством
Ноут можно взять и за 30-40 на i3 - производительности хватит выше крыши и подключать по HDMI хоть к телевизору, хоть к монитору. Также можно подключить внешнюю клавиатуру
По своему опыту - имею Intel CompuStick на Atom 8350 и Win10 - его производительность хватает для просмотра видео и работе через RDP. Подключен к телевизору. НО! предпочитаю в командировки ездить с 10-летним ноутбуком (14" вес 1.1 кг) и HDMI-кабелем. Гораздо комфортней.
А если нужеy только RDP - так можно вообще обходиться без ничего. Современные смарт-телевизоры позволяют установить RDP-клиент. Проверено на Самсунг (Tizen) и Телефункен (Android)
А если всё-таки хотите компьютер - как вариант неттоп типа HP 260

Доступ к обоим микротикам?
Там где поднят сервер PPTP:
В PPP-Interface:
Создай интерфейс с именем наприме PPP-HOME и привяжи к пользователю под которым подключается домашний микротик (Pinta.mikrotik)(это чтобы динамический не создавался)
На картинке ошибка
Local address должен быть из той же подсети что и remote address
Пропиши маршрут до домашней сети
/ip route
add distance=1 dst-address=192.168.88.0/24 gateway=PPP-HOME
или
add distance=1 dst-address=192.168.88.0/24 gateway=172.16.6.1 (local address - но так не есть хорошо)

На домашнем:
/ip route
add distance=1 dst-address=192.168.14.0/24 gateway=PPP-OFFICE (имя твоего PPP-клиента)
или
add distance=1 dst-address=192.168.14.0/24 gateway=172.16.6.2 (remote address)

Я это фигней перестал страдать когда разобрался с OSPF - теперь динамические маршруты сами создаются

Есть программы, которые официально не являются вирусами-троянами
Например "Стахановец" (есть и другие, с ними близко не сталкивался) https://stakhanovets.ru/
Установленный на компе-смартфоне имеет полный доступ ко всему что вы делаете,
Раньше можно было обнаружить по сервису с названием stkh, и активности на порту 13289, в последних версиях можно название сервиса и порт менять
Рекомендую
1. полностью переустановить систему (с форматированием или заменой диска)
2. Создать учетку админа с паролем и учетку пользователя с ограниченными правами
3. Взять за правило работать только под пользователем
4. Завести телефонный номер чисто для авторизации И вставить эту СИМку в кнопочную трубку. Сменить пароли в учётках на сайтах и почты и поставить обязательное подтверждение по СМС

Если есть такая возможность - попробуйте метод электриков.
Она же куда-то запитана?
Поставьте на смартфон программу WiFi Analyser погуляйте по территории и по уровню сигнала попробуйте локализовать (предварительно сменив SSID у других точек чтобы не мешали)

1. При установке системы не подключай комп к сети
2. В свойствах сети включи "задать как лимитное подключение"
3. Помимо "Лимитного подключения" выполните следующие настройки:
1) Параметры-Обновление и безопасность-Центр обновления Windows-Дополнительные параметры.
"При обновлении Windows получать обновления для других продуктов..." - ОТКЛ.
"Скачивать обновления через лимитные подключения..." - ОТКЛ.
2) Параметры-Обновление и безопасность-Центр обновления Windows-Дополнительные параметры-Оптимизация доставки.
"Разрешить загрузки с других компьютеров" - ОТКЛ.
3) Параметры-Обновление и безопасность-Центр обновления Windows-Дополнительные параметры-Оптимизация доставки-Дополнительные параметры.
Установить ограничения по трафику для системных обновлений.

Если нужно админить сам сервер:
Скачайте с сайта Майкрософт и установите на своем компьютере Windows Admin Center (он бесплатный)
https://www.microsoft.com/ru-ru/windows-server/win...
Подключитесь к серверу и управляйте (заодно можно управлять всеми компами в офисе)
Если нужно админить виртуалки:
Поставьте на своей машине Hyper-v, запустите там hyper-v manager правой кнопкой по Диспетчер Hyper-V и выберите "подключиться к серверу"
https://docs.microsoft.com/ru-ru/windows-server/vi...

Если просто получать СМС на компьютер - вот так возможно
А вот как их дальше обрабатывать - не подскажу

https://messages.google.com/web/authentication?pli=1

На телефоне откройте приложение Сообщения (Google)
В списке чатов нажмите на значок "Ещё" и выберите Подключение устройства.
Откройте Сканер QR-кодов и отсканируйте код на этом устройстве

в l2tp - есть возможность указать src. address в настройках клиента - у меня так реализовано и работает

а в pptp этого почему-то нет