Valentin Barbolin

Можно указать второй IP на интерфейсе и прописать маршрут, для DNS настроить nrpt policy.

Допустимо ли в принципе настраивать NAT на сервере, где установлены AD DC, DNS и DHCP?

Не допустимо даже иметь два сетевый интерфейса на контроллере домена, особенно если один из интерфейсов будет не доступен в пределах локальной сети. Просто вдумайся что ты сделал, у тебя тачка введенная в домен будет делать DNS запрос на доменные ресурсы и в ответ получать внешний адрес (да, не всегда внешний, но ты не может это контролировать) который ей не доступен или не будет отвечать, что в свою очередь приведет замедление и лагам на всех ПК в домене.

Если это железный сервер, поставь на него ProxMox и уже на нем сделай вирталками AD и маршрутизатор. Но как показывает практика, маршрутизатор лушче железный.

Что бы при адресацию по всем доменам ru трафик шёл вне X шлюзу, иначе по Y шлюзу.

Вообще в systemd-resolverd так работает, можно указать searchdomain для интерфейса и DNS и он так же дополнительно пропишет маршруты что бы запросы на эти DNS были привызаны к интерфейсу.

Что-то типа такого
/etc/systemd/network/99-static-dns.network:

[Match]
Name=eth0 #имя твоего интерфейса

[Network]
DNS=8.8.8.8 #  если DNS по DHCP то, можно убрать этот параметр.
Domains=~.ru

ip neighbor
Нажимаем Discovery Setting и настраиваем на свой вкус.

При такой схеме на WAN интерфейса используем Gateway, а на LAN убираем Gateway и пишем нужные маршруты.

Зачем тебе это

routes:
             -   to: default
             via: 89.218.165.97

Почему не просто Gateway: 89.218.165.97 ?

Покажи что там в ip ro при таких настройках.

167.ХХ.ХХ.X

скорее всего ноутбук самоназначает себе IP т.к. не видит DHCP сервер.

Далее от Mikrotika идет кабель к умному коммутатору D-Link DGS-1210-52/ME, в котором я физическому порту присвоил ID 1005.

Ты на микротик отдает тегированный трафик, значит и принимать надо тегированный. Соответственно на D-link порт должен быть в режиме транк, а порты куда подключены клиенты в access в 1005 vlan. Или отдавай ассess на микротике. Если на этом порту микротика только этот D-link то тебе и vlan не нужен, просто выдерни этот порт из бриджа и назнач ему IP и настрой DHCP.

MAC адрес работает в L2 сегменте сети. Свичи это L2 устройства, RTA это L3 устройство к которому подключены две сети L2. Соответственно между ПК-Свич-RTA это одна L2 сеть, RTA -Свич-Сервер это вторая L2 сеть. Что бы пройти L3 устройство в пакете должен произойти подмена MAC адреса. Что бы RTA понял что пакет предназначен ему, в пакете от ПК в поле destination должен стоять его мак. Если в пакете будет стоять МАК сервера, то пакет дойдет до RTA и будет отброшен, до сервера пакет вообще не дойдет т.к. ARP не может проходить в другую L2 сеть, а RTA не перебрасывает ARP пакеты между L2 сетями.

В пакете есть IP и MAC.
MAC подменяется при переходе через L3 устройства, IP и MAC одновременно подменяются при переходе через NAT.

VLAN это не только возможно разделить большие сети.
В обычной жизни 30+15+15=60 устройств это не много для офиса и администраторы редко заморачиваются vlan, т.к. не всегда есть возможно купить коммутаторы которые умеют работать с VLAN.

Но для курсовой можно выделить такие плюсы использования vlan
1. Безопасность. Хорошим тоном является выносить такие устройства как камер, телефоны, принтера, сервера в отдельную сеть (vlan) и настраивать ограниченный доступ. Что позволяет оградить потенциально любопытных пользователей, злоумышленников, зараженные ПК от возможности скомпрометировать сеть предприятия.
2. Qos. Разделение на vlan позволяет настроить приоритет трафика в этом vlan, что может быть актуально для VoIP трафика.
3. Сервера. Это так же связано с безопасность, часто сервера имеют публикацию, что потенциально открывает возможность взлома данного сервера из мира. Для повышения безопасности, сервера с публикацией необходимо размещать в отдельном VLAN так называемая зона DMZ, у которой нет или есть ограниченный доступ в локальную сеть. Так же использование одной сети открывает возможности для использования атак по типу MITM.
4. Диагностика. Гораздо проще найти виновника пакостей когда сеть сегментирована на VLAN. Например, если сервера и ПК будет в одной сети, то какакой-то пользователь назначит на свой ПК IP аналогичный серверу и все устройства в сети будут иметь проблемы с доступом к этому серверу.
5. Так же WIFI стоит разделять минимум на два VLAN, гостевой и рабочий. Гостевой соответственно не должен иметь доступа к внутренней сети. Рабочий должен иметь ограниченный доступ т.к. в него может подключаться устройства BYOD которые покидают компанию и могут потенциально нести(принести) угрозу.
6. VPN. Разделение на VLAN упрощает построение VPN сетей при маштабировании компании или предоставлении сотрудникам доступа из вне посредствам VPN.