Valentin Barbolin

так же на appstorrent

Поднять еще один Mikopbx и использовать его как SIP-провайдера для тестов )

bind view
из клиентской сети днс резолвит в один адрес, из мира - в другой

Настраивать авторизацию, хоть тот же 802.1X.

Вопрос скорее не технический, а организационный. Хотя техническая часть в нем есть.
Технически:
- привязка mac к порту
- укладка провода так, чтобы просто так не добраться (человек ленив, если надо лезть под стол - точно не полезет)
- отобрать админские права на винду у тех, кому они не нужны
- arpwatch всюду

Организационный:
- общий приказ по конторе о запрете домашних устройств, под роспись каждому
- информирование о введении режима привязки маков
- тем, кому админские права нужны для работы - отдельная бумага об ответственности с подписью
- показательная порка первого пойманного - лишение премии, выговор, увольнение в режиме "два часа на сбор личных вещей"

Отдельное замечание про умников с клонированием мака. Здесь, как и везде, роялит намерение. Клонирование мака - это явно деструктивное действие, направленное на обход систем защиты. Значит ты кто - ты нарушитель, и с тобой не админы будут говорить, а безопасники иди руководство.

В 2015-м вроде как один такой чел у нас решил "попробовать" Tor. Ну, директор по безопасности вызвал его и его начальника, поговорил... Челу как бабка отшептала что-то пробовать, до сих пор у нас работает...

Странная схема
1. Можно попробовать сделать bridgeWAN
Добавить в него 2 порта. Получится петля, которую разрулит RSTP, если оборудование провайдера позволит это сделать.

2. Либо договориться с провайдером на LAG интерфейс, но в случае WiFi моста это не будет работать адекватно. Тут только режим active/backup.

3. Городить скрипты, которые будут проверять наличие линка к провайдеру.

4. Просить дополнительные адреса, ставить второй маршрутизатор и делать VRRP

купить видеорегистратор hiwatch \ hiksivion и подключить в него камеры по onvif \ rtsp

Ваш вариант с распбери и дороже и хуже

Сложная тема, для себя такой мануал нашёл: https://caddyserver.com/docs/automatic-https#local...

Можно обойтись и без усиления GSM (это в любом случае выйдет недешево, нужно угадать по частотам, лучше пробрасывать не только 2G, но и 3G и 4G). Если ваш оператор поддерживает VoLTE и VoWiFi - то достаточно включить услугу и подключиться к вайфаю. Телефон будет работать как обычно, но через WiFi. При чем необязательно, чтоб был один и тот же оператор в телефоне и на модеме.
Для интернета тянуть антенну из подвала наверх плохая идея - будут большие потери в длинном кабеле. Проще поставьте 2 роутера, один наверху с модемом, второй внизу и соедините его кабелем (витой парой) с первым. Роутеры выберите с поддержкой MESH и настройте ее. Будет единая сеть на всех этажах. Верхний роутер можно рассмотреть сразу с слотом SIM, тогда не потребуется USB-модем и будет надежнее соединение (у роутера будут 2 съемные антенны GSM, вместо которых, при необходимости. можно подключить уличную антенну). В этом варианте тоже можно реализовать и VPN и TTL, но смотря какой роутер. Это не все могут. Например - кинетик может.
При такой схеме - вам хватит бюджета.

Чисто теоретически возможно. Чисто практически для этого потребуется целая команда высококвалифицированных разработчиков и инженеров для реверсинга ОС и написания драйверов/кода для того, чтобы заставить её там работать, пару лет работы, а так же чемодан или два денег.

Всё уже придумано за вас:
https://self-service-password.readthedocs.io/en/stable/