Valentin Barbolin

### Настройка MikroTik1

# Создание нового моста
/interface bridge
add name=bridge1 protocol-mode=none

# Добавление портов в новый мост
/interface bridge port
add bridge=bridge1 interface=ether1 # порт интернет
add bridge=bridge1 interface=ether2 # порт ПК

# Настройка VLAN
/interface bridge vlan
add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2

# Активация VLAN фильтрации
/interface bridge
set bridge1 vlan-filtering=yes

# Установка PVID для access порта
/interface bridge port
set [find interface=ether2] pvid=100

### Настройка MikroTik2

# Создание нового моста
/interface bridge
add name=bridge1 protocol-mode=none

# Добавление портов в новый мост
/interface bridge port
add bridge=bridge1 interface=ether1 # порт интернет
add bridge=bridge1 interface=ether2 # порт ПК

# Настройка VLAN
/interface bridge vlan
add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2

# Активация VLAN фильтрации
/interface bridge
set bridge1 vlan-filtering=yes

# Установка PVID для access порта
/interface bridge port
set [find interface=ether2] pvid=100


Так же надо перенести IP адрес интернет подключения с ether1 на bridge1 и добавить bridge1 
в интерфейс список WAN. В моем примере vlan 100, у тебя должен быть другой. 
В процессе у тебя может отвалится интернет, так что буть акуратнее и используй safe mode.

Настроить на сервере NAT, клиенты будут образаться на определенный порт сервера а он будет перенаправлять запрос на linux.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 1.1.1.1:80
iptables -t nat -A POSTROUTING -o eth0 -p tcp -d 1.1.1.1 --dport 80 -j MASQUERADE

# Включить форвард
echo 1 > /proc/sys/net/ipv4/ip_forward

где 1.1.1.1 адрес linux сервера

поднимает туннель ipsec с cisco

Интересно какой IPSEC, т.к. не все туннели разрешают динамически менять IP.

По классике поднимают два туннеля одновременно, а для переключения используют OSPF.

VMware Horizon Client - это офф клиент то VMware, нормальный софт, сами используем. Он не дает возможности подключаться к ПК сотрудника, только получать немного статистика про подключение.

Вот если бы это был какой-то NoName с китайского сайта - я бы задумался)

так же
Как связать несколько локальных сетей через WireGuard на ubuntu?

ТВ смотрит в интернет"

Значит что между устройством и интернетом на стороне пользователя нет посредников, то есть нет роутера, а кабель интернета подключен прямо в ТВ, соответственно любой участник интернета может попробовать подключиться к этому устройству.

"приложение смотрит в Интернет", порт смотрит в "Интернет"

Процессы которые работают с интернет при работа слушают какие-то порты, на основании порта операционная система знает какому именно процессу предназначается пакет который пришел из интернета. Когда так говорят, то это значит что порт который слушает приложение доступен всем через интернет.

У меня тоже самое, монитор гаснет переодически, но за 2 года ничего плохого не случилось. Поможет только заземление, как минимум надо сам мак заземлить.

Без конфигурации микротика сложно сказать что именно происходит. Но похоже что микрот занимается выдергиванием VOIP трафика и засовывает его в 33 VLAN.

Проблема стара как мир, но люди никак не могут найти решение...
https://habr.com/ru/articles/107267/
https://habr.com/ru/articles/117620/

Не такой уж он и слабый для NAT, большенство домашних роутеров имеют схожие характеристики. С минимальным набором правил с NAT он справиться, а вот на VPN умрет. Хотя все таки это просчет, банально hap ac2 будет в разы лучше в качестве NAT, при это он стоит копейки. Я бы все таки продавил доп закупку.

Использовать виртуальный роутер это как стрелять себе в ногу, он обязательно в какой-то момент не запустится и удаленно этот вопрос решить не получиться.

Если сотрудников не много (до20). Как бы я сделал
Настроил бы на нем NAT с минимальными правилами и fasttrack, а если мне нужен VPN то поднял бы виртуалку и пробросил на нее нужные порты.

что IP сервера не загрязняет домен,

В спам лист может попасть как адрес там и домен, особенно если они на одном IP адресе. Но в твоем случае это влияет только на отправку почты. Некоторые блокировщики не различают причину попадания IP адреса в BAN список, если адрес в списке значит на всякий случай мы ему все закроем).

Ты конечно в спам списке, но это не повод откидывать твои письма, такие крупные агрегаторы как mail.ru или gmail.com обычно пропускаю такие письма но помечаю как спам.

По хорошему пройди тест и настрой почту согласно рекомендаций.
https://www.mail-tester.com/

Провайдеру не выгодно гонять трафик через Токио) Гарантировать один маршрут можно только в пределах одной локальной сети. В других случаях такая идея ломает резервирование каналов и балансировку. 95% случая маршрут всегда будет самым коротким.

Те знать время прохождения до того ка взял сервер практически невозможно.

У провайдера услуги можно встретить утилиту или список IP для проверки связи к различным его датацентрам и таким образом определить оптимальный датацент для размещения VPS.

Так что, забивай в google провайдера который понравился и добавляй speedtest
как пример
https://fastvps.ru/support/kb/8456431
https://ishosting.com/ru/looking-glass

Ты можешь выключить Discovery на самих принтерах и соответственно не зная IP его не получить добавить на ПК.
В плане ограничения доступа необходимо смотреть на функционал самого принтера, возможно бренд который ты используешь заложил такую возможность. По взрослому органичение доступа реализовывают через принтсервер на базе windows или cups.