ValdikSS

Убедитесь, что все демоны настроены на работу только на локальном адресе (127.0.0.1 или ::1), в этом случае подключение к ним невозможно будет установить извне с помощью обычной маршрутизации. Обычно подобные опции называются bind-address, или как-то похоже.

Также убедитесь, что на компьютере не установлено ПО прокси, доступное извне: оно может обращаться к локальным адресам и позволит потенциальному злоумышленнику получить доступ к локальным программам.

То, что вам нужно, называется bonding.
Вряд ли производительности вашего роутера будет достаточно для таких скоростей, так как bonding (скорее всего) несовместим с аппаратным свитчом.

https://forum.openwrt.org/t/best-way-to-configure-...

Попробуйте kcptun, он создан как раз для таких ситуаций.

https://www.openmptcprouter.com/

Для «пробива» NAT существуют распространённые и широко применяемые практики, задокументированные в RFC5128, а также менее распространённые, но технические еще более продвинутые, вроде pwnat.

Слыхал об hole punching/STUN, но вроде для них нужен промежуточный сервер, но тогда смысл от децентрализации.

Промежуточный сервер в Hole Punching нужен только для согласования IP-адресов и портов. Если же IP-адрес и порт заранее известны (например, вы настраиваете UDP VPN между двумя пирами), то промежуточный сервер не нужен: просто отправляйте пакеты по UDP со статичными портами на обеих сторонах друг к другу.

Промежуточным сервером также может быть другой пир, а не обязательно централизованный сервер. В расширении ut_holepunch протокола BitTorrent DHT один пир может отослать другому пиру сообщение о необходимости подключения друг к другу путём отправки сообщения в DHT.

По крайней мере, в некоторых подобных роутерах внедрены и настроены умные алгоритмы приоритизации трафика, такие как cake, которые потребляют приличное количество процессорных мощностей, зато позволяют максимально честно разделить полосу пропускания между клиентами, причём таким образом, чтобы загрузка канала не увеличивала задержки.
Проще говоря, такие маршрутизаторы позволят вам комфортно играть в игры или общаться через VoIP, одновременно с этим качая торренты на полную.

https://docs.microsoft.com/en-us/windows/win32/ter...

The following example shows a function that returns TRUE if the application is running in a remote session and FALSE if the application is running on the console.
C++

#include <windows.h>
#pragma comment(lib, "user32.lib")

BOOL IsRemoteSession(void)
{
   return GetSystemMetrics( SM_REMOTESESSION );
}

Вы в traceroute видите ответ маршрутизатора о пути прохождения пакета. Вероятно, ваш первый хоп имеет адреса как 10.128.0.1, так и 10.128.0.4, но пакет ICMP Time-to-Live Exceeded он посылает с 10.128.0.1. Это не значит, что трафик маршрутизируется через адрес 10.128.0.1.