Valentin Barbolin

Mikrotik с этим плохо справиться, на сайте так же подгружаются другие ресурсы которые так же надо разрешать.
Для этого нужен прокси, например kerio или squid.

Есть микротики с поддержкой docker в котором можно запустить squid, возможно это твой случай.
https://habr.com/ru/company/selectel/blog/694436/

Такие решения называются SD-WAN.

Если грубо описать его работу, то выглядит это так.
Есть роутер с поддержкой SD-WAN, есть сервер в облаке с хорошим интернет каналом. К роутеру подключено несколько интернет каналов, не важно каким образом, это так же могу быть модемы USB. Роутер строить через каждый интернет канала туннель в облаков и балансирует трафик между этими туннелями, так же роутер контролирует качество, стабильной работы каждого такого туннеля. Сервер собирает трафик со всех туннелей и уже пуляет в интернет.

Да, при таком подходе можно суммировать трафик со всех интернет каналов, ограничение будет на стороне сервера, сколько он пропустит через себя.

Как пример.
https://5gstore.co.uk/sd-wan-pro-bonded-4g-5g-internet/

For lease expires -19418 day left

Кажется в это строке не хватает домена, или у тебя пустая строка в конце списка.

grep -iE 'expir.*date|expir.*on'

Вот этот фильтр может не работать, еще может быть просто expires: или free-date:, а может и вообще этого поля не быть в whois.

Попробуй вот так

expdate=$(whois "$domain" | grep -iE 'expir.*date|expir.*on|expires|free-date' | head -1 | grep -oE '[^ ]+$')

$TTL    604800
lra-lx1.local       IN      SOA     ns.lra-lx1.local. (
                      202301022         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
                                     A       192.168.1.10      ; delete this line
                                     MX      50 mx.lra-lx1.local.
                                     CAA     128 issue "sectigo.com"
                                     TXT     "v=spf1 a mx -all"
$ORIGIN example.com.
ns           IN      A       192.168.1.20
mx           IN      A       192.168.1.30

попробуй так

Чисто технически может возникнуть конфлик IP адресов т.к. в стеке у них один адрес, так же STP брыкнет.

В теории надо выдернуть один коммутатор из стека, подцепиться консолью, поменять IP, приоритет STP и hostname (что бы discovery не ругался). Но ты все равно не сможешь собрать стек без полной перезагрузки, так же потребуется засинхронить конфиг с мастера, когда оба будут в новой локации.

У тебя один стек? Если нет, возможно получить переносить по одному стеку целиком.

Создать новый ключ не защищенный паролем.

Вариантики
1) Сложный, надо понимать что и как ты делаешь. Своя АТС+GSM шлюз, приложение на телефон.
2) Запросить у своего оператора возможно отдать номер по SIP, поставить приложение на телефон.
3) Отнести симку оператору который поставит ее в свой шлюз и отдаст по SIP, поставить приложение на телефон.
4) Самый удобный и не требующий особых навыков. Поищи на ali устройство по ключевому слову SIMBOX

Можно.Выключи KidControl и добавь в конце всех правил
/ip firewall add action=accept chain=kid-control comment="Allow localnet for kid-control" dst-address=192.168.88.0/24 src-address=192.168.88.0/24

Когда включишь KidControl, это правило должно оказаться над остальными правила KidControl и разрешать трафик в локальной сети.
192.168.88.0/24 - это адресация твоей локальной сети

В целом мне тоже кажется логичным, что ограничение доступа в интернет не должно касаться локальной сети, возможно микротик исправит эту ситуацию в будущем.

Мой опыт настройки на mikrotik ac2, 7.6

# За основу была взята это статья
https://habr.com/ru/post/549282/

# Настраиваем VPN от WARP
https://habr.com/ru/post/594551/
https://github.com/ViRb3/wgcf

# Настраиваем pptp для BGP
Получаем настройки pptp у телеграм бота
https://t.me/antifilter_vpn_bot

# Настраиваем BGP
1. Делаем темплейт для BGP

/routing bgp template
set default disabled=no output.network=bgp-networks
add as=65514 disabled=no name=antifilter output.network=bgp-networks .no-client-to-client-reflection=yes router-id=10.42.1.3 routing-table=main

где
10.42.1.3 - pptp адрес mikrotik

2. Настраиваем фильтр для входящих маршрутов, который переписывает GW

/routing filter rule
add chain=discard disabled=no rule="reject;"
add chain=antifilter-in disabled=no rule="set gw *0x4a; accept;"

где
*0x4a - имя интерфейса для обхода блокировки, в моем случае wireguard WARP, лучше настраивать через winbox GUI

3. Поднимаем BGP

/routing bgp connection
add as=65514 connect=yes disabled=no hold-time=4m input.filter=antifilter-in keepalive-time=1s listen=yes local.address=10.42.1.3 .role=ebgp multihop=yes name=rublacklist output.filter-chain=discard .network=bgp-networks \
    .no-client-to-client-reflection=yes remote.address=10.75.66.20/32 .as=65444 .port=643 router-id=91.231.206.202 routing-table=main templates=antifilter

где
65514 - АS с твоей стороны, выбираем любой от 65000-65999
65444 - АS отдающая маршруты, выбрать можно тут https://antifilter.network/bgp, я выбрал весь RU сегмент

4. VPN от CF warp имеет свойство падать если в нем не ходит трафик, добавил костыль в виде ping yDNS

/tool netwatch
add disabled=no down-script="" host=77.88.8.8 http-codes="" interval=30s test-script="" type=icmp up-script=""

Не хватает правили прероутинга на VPS

Не забыть поменять переменные на реальные адреса
WAP_IP - это IP адрес с интерфейса eth0
PPP_MIK_IP - это IP адрес с интерфейса ppp на микротик
PPP_VPS_IP - это IP адрес с интерфейса ppp на VPS

-t nat -A PREROUTING -d $WAN_IP -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination $PPP_MIK_IP:80
-t nat -A PREROUTING -d $WAN_IP -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination $PPP_MIK_IP:443

так же возможно понадобиться, зависит от конфигурации VPN, попробуй сначала добавить только первые 2 правила
-t nat -A POSTROUTING -d 192.168.43.0/24 -p tcp -m tcp --dport 80 -j SNAT --to-source $PPP_VPS_IP
-t nat -A POSTROUTING -d 192.168.43.0/24 -p tcp -m tcp --dport 443 -j SNAT --to-source $PPP_VPS_IP

https://about.gitlab.com/install/

Все достаточно просто.

Недолюбливаю я ufw, мне больше по душе ferm
Не забываем про
sudo sysctl -w net.ipv4.ip_forward=1

Сносим ufw и cтавим надстройку ferm над firewall
sudo apt install ferm

Правим конфиг ferm
sudo vim /etc/ferm/ferm.conf

@def $WAN_IP1 = 1.1.1.1; # На этом разрешаем входящие
@def $WAN_IP2 = 1.1.1.2; # Через этот выходим
@def $DEV_WAN = ens1s0;
@def $VPN_NETS = (10.10.10.0/24 10.10.20.0/24); # Сети VPN клиентов


domain (ip ip6) {
    table filter {
        chain INPUT {
            policy DROP; # Политика поумолчанию, если нет разрешающего правила значит запрещено

            # connection tracking
            mod state state INVALID LOG log-prefix '[FERM] INVALID INPUT DROP: ';
            mod state state INVALID DROP;
            mod state state (ESTABLISHED RELATED) ACCEPT;

            # allow local packet
            interface lo ACCEPT;

             # respond to ping
             #proto icmp ACCEPT;
            
            daddr $WAN_IP1 {

                # respond to ping
                proto icmp ACCEPT;

                # allow SSH connections
                proto tcp dport 22 ACCEPT;

                # allow WEB connections
                proto tcp dport (http https) ACCEPT;

                # allow VPN wireguard connections
                proto udp dport 51820 ACCEPT;
            }


        }
        chain OUTPUT {
            policy ACCEPT;

            # connection tracking
            #mod state state INVALID DROP;
            mod state state (ESTABLISHED RELATED) ACCEPT;
        }
        
        chain FORWARD {
            policy DROP; 

            # connection tracking
            mod state state INVALID DROP;
            mod state state (ESTABLISHED RELATED) ACCEPT;

            saddr $VPN_NETS ACCEPT; # Разрешаем трафику от VPN клиентов проходить в любом направлении
        }
    }
    table nat {
        chain POSTROUTING {
            saddr $VPN_NETS outerface $DEV_WAN SNAT to $WAN_IP2; # Маскируем-натим исходящий трафик от VPN клиентов вторым IP
        }
    }
}

@include ferm.d/;

Применяем конфиг
sudo ferm -i /etc/ferm/ferm.conf

Если это микротик, то набросать простой скрипт проверки канала с логированием в файл прямо на нем.
Если предпологается мониторить с какого-то ПК - то в интернете полно скриптов.
Если у тебя есть белый адрес, то можно найти телеграм бота который будет пингать твой роутер из мира - потом выгрузишь переписку с ботом в файл)

> nc: connect to smtp.yandex.ru port 465 (tcp) failed: Network is unreachable
Помоему ошибка однозначная, проблема в сети, возможно DNS не резолвит smtp.yandex.ru или нет маршрута к нему, или на его стороне firewall блокирует тебя.

Че тут гадать, надо проверять.
Для начала ping smtp.yandex.ru
Потом telnet smtp.yandex.ru 465

Начиная с FreePBX 16 кажеться.
Not recommended, but if you need to enable it, you can do so in Settings, Advanced Settings:

Наверное самым оптимальный выбором будет VMware workstation, да она платная, но ключи можно найти.
Из плюсов
- скорость, да hyper-v не будет уступать как нативная платформа, но у VMware больше опыта на этом рынке
- поддержка образов, можно скачать уже готовый vmdk или OVA и в 2 нажатия развернуть.
- интеграция, можно легко подключить к vSphere и тягать машинки
- огромное сообщество где легко найти ответ на любой вопрос

Пробовал я Hyper-V но вернулся на VMware. На Hyper-V какие-то простые вещи надо делать через анус, открывать powershell, вводить неизвестные команды, самое главное тебе этот скил врятли еще где-то пригодится.

WSL - сырой, обязательно найдется софт который не будет работать.
VirtualBox - медленный и не стабильный, на длинный дистанция (когда машинка работает несколько дней-недель) течет по памяти.

Если что-то по серьезнее, то берем отдельный ПК и ставим
VMware ESXi, не все железо поддерживается, но это самый близкий вариант к боевым условиям
ProxMox

В 16.04 нет пакета python-certbot-nginx поэтому все делаем руками.

## Ставим CertBot
sudo apt-get install certbot

## Создаем папку
sudo mkdir -p /var/www/cert_bot/.well-known/acme-challenge
sudo chown -R www-data:www-data /var/www/cert_bot

## Создаем базовый конфиг в /etc/nginx/site-enable/default 
server {
          listen  80;
          
          server_name  _;
        root /var/www/cert_bot;

        location /.well-known/acme-challenge/ {
                access_log off;
                default_type "text/plain";
        }
        location / {
                return 301 https://$server_name$request_uri;
                }
}

## Пробуем запросить сертификат
sudo certbot certonly --dry-run--webroot --agree-tos --email hostmaster@domain.com -w /var/www/cert_bot/ -d domain.com 

## Если все ок, заправиваем без --dry-run
sudo certbot certonly --webroot --agree-tos --email hostmaster@domain.com -w /var/www/cert_bot/ -d domain.com 

## Добавляем конфиг с SSL /etc/nginx/site-enable/domain-ssl
server {
        listen   443 ssl;
       
        server_name domain.com;
        

        ssl                  on;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/domain.com/privkey.pem;
        #ssl_dhparam /etc/nginx/dhparam.pem;

        root /var/www/html
}

## Добавляем в крон автообновление сертификата 
sudo crontab -e -u root
0 0 10,25 * * certbot renew

https://mobileproxy.space/en/pages/ustanovka-3prox...

Попробуй добавить в /var/www/nextcloud/config/config.php
'overwriteprotocol' => 'https',

NGINX PROXY MANAGER - Advanced - Custom nginx configuration
Strict-Transport-Security "max-age = 31536000; includeSubDomains" always;

Не тот порт, должен быть 53.
Please check bind_hosts inside AdGuardHome.yaml.