TheBigBear

"на интерфейсах DNS и домен прописан"
Ещё раз проверьте - какой DNS отдаёт клиенту DHCP сервер
ipconfig /all
как крайний вариант - на клиенте ручками прописать DNS 192.168.1.100 (оставив получение адреса по DHCP)

Диспетчер устройств
Посмотри в свойствах клавиатуры, контроллера USB вкладку "управление электропитанием"
Глянь галочки
"Разрешить отключение этого устройства для экономии электроэнергии"
"Разрешить этому устройству выводить компьютер из ждущего режима"

Что мешает перевести zyxel1 в режим точки доступа? тогда все LAN порты будут работать как коммутатор и все устройства будут в сети 192.168.0.0/24
Ничего сложно - пара кликов мыши в web-интерфейсе. Это делается быстрей чем я это написал (ВЭБ- управление- Основные настройки - Режим работы интернет-центра
Если хотите оставить в таком виде - тоже сложности не вижу
устройства в сети 192.168.1.0/24 и так могут получать доступ к устройствам в сети 192.168.0.0/24 по IP адресу
настраиваем:
На Zyxel0 прописываем статический маршрут
Тип - маршрут до сети
адрес сети назначения 192.168.1.0
Маска подсети 255.255.255.0
адрес шлюза 192.168.0.100 (адрес роутера1)
Интерфейс - Домашняя сеть
На Zyxel1
вкладка Межсетевой экран
На "интернет" интерфейсе и "домашняя сеть"
Добавить правила
Действие - разрешить
IP-адрес источника - любой
IP-адрес назначения любой
Номер порта источника - любой
Протокол - TCP UDP ICMP для каждого создать правило

Видеть в "сетевом окружении" не сможешь, но доступ по IP-адресу будет как у тех так и у других
Во всяком случае "шары" и принтеры я похожим способом подключал

Спросите себя - а зачем? Для обмена файлами лучше открывать папку чем весь диск
На обоих компах есть пользователь с одинаковым именем и паролем и имеющий админские права?
Сеть указана домашняя или общественная?
Вы уверены что к Вашей Wi-Fi сети никто посторонний не подключится?
В таком случае (если сильно надо) - админскую скрытую шару C$ еще никто не отменял
А так да. Чем меньше ограничений - тем меньше безопасность

DNS у Вас работать не перестал. Просто Ваш DNS-сервер КД перестал видеть сервера пересылки.
53 порт можете закрыть оставив доступ только к определенным внешним DNS-серверам (прописанным во вкладке сервера пересылки)
Не знаю что у Вас раздаёт интернет, но думаю несложно будет составить WhiteList IP адресов, и правило разрешающее доступ наружу КД только к этим адресам (в т.ч. нужные внешние DNS сервера)

виртуальные коммутаторы есть и так в любой виртуально среде - создавай сколько нужно и комбинируй
Маршрутизатор - полно виртуалок (mikrotik CHR, OpenWRT) - добавь несколько сетевух, запусти и настрой
А ещё лучше - GNS3 - позволяет еще и визуализировать сеть

В Вашем случае есть два решения
1. Сервер (компьютер) с установленной Linux Server + Asterisk как посоветовал уважаемый Drno
2. Аппаратная IP АТС. Рекомендую Grandstream UCM6202 (дешевая, интерфейс на русском языке, настраивается через браузер) Судя по Вашему комментарию к предыдущему ответу ("Просто я в серверах полный ноль") рекомендую именно этот вариант
Все что нужно настроить - voip-транки (внешние номера), добавочные номера (можно сразу кучу за пару кликов), входящие и исходящие маршруты - пошаговых инструкций в сети полно.
Далее по вкусу (запись разговора, конференции, голосовое меню, голосовая почта и прочие вкусняшки)
Вы написали, что 12 IP телефонов у Вас уже есть.
Какой модели?
подключены ли они к локальной сети?
Находятся ли они в одном сегменте локальной сети?

К меню восстановления ты в любом случае будешь иметь доступ
Я в нескольких Mac Mini менял жесткие диски на пустые SSD - без всякого клонирования - Мас OS сама через Интернет скачивалась и устанавливалась

"имел свой ip в главной сети" - не понимаю зачем?
Доступ к регистратору можно получить двумя способами
1. Если "вторая сеть" имеет внешний IP - элементарное правило NAT. Чтобы не выпускать регистратор во всю сеть Интернет - указать Src Address "главной сети"
2. На роутере "второй сети" поднять l2tp клиента, прописать в IP Routes маршруты. Если не хотите видеть всю "вторую сеть" пропишите только адрес IP регистратора вместо 0/24

Для начала. Убедимся что IP "белый"
Заходим на https://2ip.ru/ - смотрим свой IP адрес
По https://2ip.ru/whois/ - введи предоставленный провайдером dyndns имя
Сравни эти IP. Если совпали - замечательно
Попробуй прописать в роутере внутренний IP адрес сервера в DMZ-зону Он тогда завернет ВСЕ входящие запросы на твой внутренний сервер. Если достучишься - значит провайдер не блокирует входящие. Некоторые блокируют по-умолчанию и эту функцию надо отключать в личном кабинете.
И при чем тут порт 5001? http - обычно 80й порт
В правиле internal port поставь 80, а снаружи стучись http://МойIPАдрес:5001
И учти, что запись МойIPАдрес:5001 не проканает - по-умолчанию браузер подставит https вместо http

Достойная железяка.
Он потянет в разы больше
Лишь бы ширины канала хватило на всех
Даже если Вы на нём поднимете VPN-сервер, CAPsMAN, балансировку каналов, продвинутый prerouting, скрипты и многое другое
P.S. у меня несколько "старичков" RB450G уже много лет чуть меньше сетки тянут и не жужжат. Настроил и забыл

Как на паркомат интернет попадает?
У некоторых роутеров Mikrotik есть датчик напряжения.
Запитать его напрямую к батарее (ему что 12 вольт, что 24 - всё едино)
И получай данные хоть в режиме онлайн
Например старичка RB450G на авито можно купить за совсем смешную сумму

1. CRS 326 -24G является больше коммутатором чем маршрутизатором
L2TP+IPSEC не потянет (проверено на MIKROTIK CRS125-24G-1S-RM)
L2TP без IPSEC тянет на раз. Но попытайся уговорить руководство на железку с аппаратной поддержкой шифрования. Или поднимай VPN отдельным сервером.
КД (Контроллеры домена) скорей всего будешь поднимать виртуалками? (это самое правильное решение)
Но в случае какого либо сбоя (питания, Hyper-V сервера) сеть останется без DNS и DHCP
С моей, сугубо личной точки зрения:
DHCP и DNS настрой на микротике. (тем более что DHCP-серверов планируется несколько) Первым DNS - пропиши контроллер домена вторым - провайдера. В этом случае даже при недоступности КД сеть и интернет будет работать. Ну или пропиши в микротике STATIC DNS что-то вроде:

/ip dns static
add name=domains._msdcs.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.dc._msdcs.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.default-first-site-name._sites.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.default-first-site-name._sites.dc._msdcs.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.Default-First-Site-Name._sites.Мой_КД.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.controller._msdcs.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.default-first-site-name._sites.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.Мой_КД.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kerberos._tcp.Мой_Домен.localnet srv-port=88 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kerberos._tcp.default-first-site-name._sites.Мой_Домен.localnet srv-port=88 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kerberos._tcp.default-first-site-name._sites.dc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kerberos._tcp.dc._msdcs.Мой_Домен.localnet srv-port=88 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kerberos._udp.Мой_Домен.localnet srv-port=88 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kpasswd._tcp.Мой_Домен.localnet srv-port=464 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kpasswd._udp.Мой_Домен.localnet srv-port=464 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_tcp.Default-First-Site-Name._sites.dc._msdcs.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_tcp.Default-First-Site-Name._sites.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_tcp.default-first-site-name._sites.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_tcp.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=default-first-site-name._sites.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_gc._tcp.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_gc._tcp.default-first-site-name._sites.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_sites.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_vlmcs._tcp.Мой_Домен.localnet srv-port=1688 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV

Этим подружишь домен с микротиком

2. Именно поэтому DHCP-сервера лучше завести на микротике
3.3 Забудь про порт 3389!!!! Пропиши любой другой (22222, 34567....)

Я поступал обычно просто - просил техподдержку предоставить "вчерашний" бэкап сервера. И мне давали доступ на скачивание файла .vmdk (даже упаковкой не заморачивались)
Eсли хотите сам изнутри скопировать - то мешает подключить еще один диск (допустим домашний) через WebDav или через VPN подключиться к сетевому диску (или iSCSI поднять)
Из инструментов - veeam backup бесплатная версия

Вам обязательно VPN нужен для доступа к заблокированному сайту?
Расширений браузера недостаточно?
Для Хрома например оно называется "обход блокировок Рунета"
https://chrome.google.com/webstore/detail/%D0%BE%D...
VPN сервисы в основном пользуют для безопасности (закрытие информации о посещениях, скрытие своего местоположения (страны), шифрованный трафик передачи данных, объединение территориально разнесенных сетей, в основном корпоративных)

Я бы тоже порекомендовал Микротик, но боюсь у Вас знаний не хватит грамотно его настроить. В его настройку надо "въехать" - тогда точно больше никакой другой роутер Вас не понравится - замечательная железка!
Так что мой совет - Кинетик (интерфейс на русском, логичен и понятен даже для неспециалистов.
В настройках подключаете Wireless ISP как резервный.
Единственный недостаток (возможно его исправили - давно не проверял) - не хотел сам переходить на резервный интернет, если линк до шлюза проводного провайдера пинговался - приходилось тупо провод из него выдергивать
Клиент OpenVPN ставится через Управление- Общие настройки - изменить набор компонентов