dmb_1945

Как вариант - в скрипте дёргать zabbix_sender, который уже будет заталкивать в сервер пачку значений (ему можно передать файлик со списком).

Несколько сайтов на одном IP, которые резолвятся по serverName - это нормальный подход?

a как по вашему работают шаред–хостинги, у которых на одном ипе несколько сотен доменов/сайтов?

докер нужен там, где он нужен и когда он нужен. а не словили хайп, снесло кукушку, тулим его на каждый чих–пых.

по вашему описанию, вам даже впс не нужен – достаточно просто перенеси все сайты на один акаунт у одного хостера.
а для потренироваться отлично подходит локалхост или персональный впс.

Перед релизом хочется быть полностью готовым ко всему

Быть готовым ко всему невозможно даже теоретически!
Вы поставили заведомо невыполнимую цель

Стандартный чеклист по проверке основных типов угроз.
Если есть какие-то очень критичные места именно в вашем проекте - дополнительно их проверьте.
А что касается остального -
Безопасность это процесс!
Невозможно взять и сделать сайт безопасным.
Можно следить за безопасностью сайта и своевременно устранять наиболее критичные угрозы.

listen-on port 53 { 127.0.0.1; 10.2.0.9; };
вы слушаете только на внутреннем IP, поэтому DNS-сервер не доступен снаружи.

1. Получить возможность смотреть камеры через инет, с защитой от посторонних глаз

На первом роутере поднят L2TP сервер, коннект по VPN и просмотр камер. Есть вариант лучше или и так идеален?
Тут всё работает, мучает незавершенность решения.

решение завершено, не обязательно выпускать камеры в интернет напрямую.

3. Локалка должна быть общей - главный R1, второй только инет от R1 раздаёт и порты предоставляет, без маршрутизации как таковой.

если вы видите с маршрутизатора R1 Ваши IP-камеры, значит у вас все работает по уровню L2 и клиенты на портах будут отправлять пакеты на маршрутизатор, Вам остается: убрать маршруты на R2, настроить Wi-Fi:
1. Сделать репитер (это будет работать в том случае, если он видет Wi-Fi от R1)
2. В случае если зона покрытия Wi-Fi-R1 не затрагивает второе здание, тогда поднимайте Wi-Fi на R2 с таким же SSID, поднимите DHCP для Wi-Fi но в качестве шлюза по-умолчанию указывайте адрес R1. (Либо для попробовать для интерфейса Wi-Fi указать адрес DHCP-сервера R1/того, где развернут DHCP)
рекомендации в указанных пунктах надо проверить, умеет ли это делать микротик

Со вторым роутером проблема - как переписать конфиги, чтобы он все порты задействовал как свитч, при этом пускал в Wi-Fi инет без всякого NAT.

Натить у Вас должен R1, я могу ошибаться, но если вы соединили R1 и R2 проводом, то Вам останется только настроить в один VLAN/Bridge порты и у вас будет связь по L2. Самое банальное - это проверка ping любой камеры с R1 (как уже писал выше), если камера доступна

п.с. если где-то допустил неточность/неверность мышления, знающие люди поправьте, опыта не очень много

Судя по симптомам, это Path MTU Discovery Black Hole.
В Windows для VPN-подключений MTU по-умолчанию равен 1400, поэтому проблем с этим не возникает. В Router OS эта проблема решается достаточно легко:
1. Опытным путем меняя значение Max MTU в свойствах соответствующего подключения, нужно установить значение этого параметра при котором проблема исчезнет. Этот способ самый простой, однако не самый оптимальный и работает не во всех случаях.
2. В профиле PPP, который указан для вашего подключения выберите "yes" для параметра Change TCP MSS.

При этом создаются динамические правила в цепочке mangle фаервола, устанавливающие значения tcp-mss в syn-пакетах равным 1410, если оно больше. Сталкивался с ситуациями, когда 1410 оказывалось недостаточно. Можно скопировать эти динамические правила в mangle и изменяя параметры на меньшие, чем 1410 добиться решения проблемы. Чтобы Router OS не создавала эти динамические правила нужно в используемом профиле отключить "Change TCP MSS".
3. Способ, который работает во всех случаях связанных с PMTU Discovery Black Hole - добавление правила в mangle:

В поле src. address указываете вашу локальную подсеть, в out. interface - название вашего pptp-подключения.

Отличаются набором модулей в комплекте.
В общем случае ставьте пакет nginx, он потянет за собой nginx-full по зависимостях, если будет недоставать модулей - всегда сможете поставить другой пакет.

Light:

STANDARD HTTP MODULES: Core, Access, Auth Basic, Auto Index, Empty GIF,
FastCGI, Map, Proxy, Rewrite.

OPTIONAL HTTP MODULES: Auth Request, Charset, Gzip, Gzip Precompression,
Headers, Index, Log, Real IP, SSL, Stub Status, Upstream.

THIRD PARTY MODULES: Echo.

Full:

STANDARD HTTP MODULES: Core, Access, Auth Basic, Auto Index, Browser,
Empty GIF, FastCGI, Geo, Limit Connections, Limit Requests, Map,
Memcached, Proxy, Referer, Rewrite, SCGI, Split Clients, UWSGI.

OPTIONAL HTTP MODULES: Addition, Auth Request, Charset, WebDAV, GeoIP,
Gunzip, Gzip, Gzip Precompression, Headers, HTTP/2, Image Filter, Index,
Log, Real IP, SSI, SSL, Stream, Stub Status, Substitution, Thread Pool,
Upstream, User ID, XSLT.

MAIL MODULES: Mail Core, Auth HTTP, Proxy, SSL, IMAP, POP3, SMTP.

THIRD PARTY MODULES: Auth PAM, DAV Ext, Echo, HTTP Substitutions, Upstream

Extras:

STANDARD HTTP MODULES: Core, Access, Auth Basic, Auto Index, Browser,
Empty GIF, FastCGI, Geo, Limit Connections, Limit Requests, Map,
Memcached, Proxy, Referer, Rewrite, SCGI, Split Clients, UWSGI.

OPTIONAL HTTP MODULES: Addition, Auth Request, Charset, WebDAV, FLV,
GeoIP, Gunzip, Gzip, Gzip Precompression, Headers, HTTP/2, Image Filter,
Index, Log, MP4, Embedded Perl, Random Index, Real IP, Secure Link, SSI,
SSL, Stream, Stub Status, Substitution, Thread Pool, Upstream, User ID,
XSLT.

MAIL MODULES: Mail Core, Auth HTTP, Proxy, SSL, IMAP, POP3, SMTP.

THIRD PARTY MODULES: Auth PAM, Cache Purge, DAV Ext, Echo, Fancy Index,
Headers More, Embedded Lua, HTTP Push, HTTP Substitutions, Upload
Progress, Upstream Fair Queue.