fpir

На "домашнем ПК с виндой" открытием и закрытием портов в/из вашей локально сети рулит ваш роутер(он-же шлюз). Какую модель угроз вы себе представляете, даже открыв 3389 на компе и оставив винду без авторизации?
Ваш ребёнок зайдёт со своего компа и положит ваш сервер? ну тогда просто поставьте пароль на учётку винды. Или он может брутфорсить пароли и сканировать открытые порты? Тогда да, озаботьтесь стойкостью паролей и закрытием всех портов на брандмауэре.

Может по такой детской проблеме статью на хабре накатать? Так заминусуют же за низкий технический уровень.
1. Что такое падает интернет - это заявление манагера, а не специалиста. При этом ресурсы в локальной сети доступны? Поэтому мы пингуем внутренний шлюз
а) ping 192.168.0.1 -t (где 192.168.0.1 адрес вашего роутера, такой чаще всего по дефолту с завода, если кто-то
настраивал - может быть другой, он-же "адрес шлюза по умолчанию" у вас в винде). Смотрим что пинги ходят и потерь пакетов нет, хотяб минуту.
b) ping 192.168.0.254 (где 192.168.0.254 адрес какого-то ресурса внутри локальной сети - сервера, NAS, или тупо,
соседнего компа). Важно, чтоб он был принципиально, желательно, чтоб стоял физически далеко.
2. Доступны ли ресурсы за шлюзом.
а) ping 8.8.8.8 (это айпи Google Public DNS, он не меняется, отвечает на пинги и почти всегда работаете)
3. Разрешаются(резволтятся) ли доменные имена
а) ping ya.ru -t (самый короткий из публичных доменов, который, скорее всего работает и не заблокирован? ,бесконечный пинг, чтоб оценить стабильность.) Обращаем внимание на время задержки, для провода хорошо разница в 2-3 мсек, для воздуха 30-50, но и 100 -150 вполне рабочий вариант. Именно разница, не само значение.
Если нет, то:
1. лежит сеть
2 нет выхода в инет, нет соединение с провайдером
3. косячит dns, на роутере, у провайдера, на компе, но проблему надо копать в этом направлении.
Вот это всё и есть "Без доступа в Интернет"
Каждый из этих случаев ветвится дальше порядочное число раз, отсекая другие ветви и сокращая возможные варианты. Причины могут быть весьма экзотические, но их диагностика начинается всегда с этого.
Пы.Сы. есть ещё номер 0, тоже довольно частый случай.
0 на компе вообще есть правильный айпи, шлюз, и днс. Если настройки стоят "автоматически", то в сведениях о сети должен быть адрес, который начинается не на 169.254, а так-же адрес шлюза по умолчанию и адрес DNS сервера. Если нет, то проблемы с DHCP - вообще нет линка, настроки на раздаются, раздаются несколькими не согласованными устройствами, настройки не принимаются.

Рутокен 2 поддерживает 2 варианта ключа.
1. Не извлекаемый - закрытый ключ генерится на токене и не может быть извлечён никак и никогда. Примерно так-же часто используется.
2. Не экспортируемый - закрытый ключ генерится на компе налоговички и записывается на токен с флагом. Софт рутокена и криптопро на этот флаг внимание обращает. Другой - игнорирует и отлично экспортирует.
Вариант, что у вас "неизвлекаемый" в теории возможен, на практике - хз, я не встречал.

А прописать в ip tables микротика правила src-nat и dst-nat, чтоб налету подменял айпишники и заворачивал в нужный бридж?

Это скорее не ответ зачем нужны, а ответ, зачем понимать, зачем они нужны. Случилось буквально 2 дня назад.
Есть некая контора с удалёнными филиалами. Шлюзами на ней микротики соединённые друг с другом oEIP туннелями и все филиалы находятся в 21 подсети. Соответственно, у первого филиала шлюзе 0.1, у второго 1.1 и тд.
Так вот, вчера интернет был. сегодня не работает(точнее у одних работает, у других нет), ничего не делали, ничего не меняли. После нескольких часов плясок с бубном выяснилась история: в филиале, где шлюзом был микротик с внутренним ip 2.1 купили бытовой роутер dlink, чтоб ви-фи раздавать, воткнули lan портом в свич и у них всё заработало. Догадайтесь, какой ip у него был по дефолту? Благо, что филиал был в получасе езды и самым ближайшем. Так, что после отрубания всех портов, кроме одного в первой конторе и нескольких сбросов arp cache поехали сразу туда. А там был филиал и за пару тысяч километров.

Чёт я не пойму, если с компа активность, то чтоб тупо источник выяснить, монитора ресурсов достаточно.

Так этим вы обезопасили себя от подмены днс ответов. ещё не факт, что провайдер перехватывал эти запросы.
Ну ок, вот вы отрезволтели рутрекер в правильны ip, и пошли на него, провайдер ловит вас на своём прокси и заворачивает на заглушку.

По пунктам: роутер 1 и роутер 2, роутер 1 воткнут в интернет и соеденён с роутером 2 витой парой:
Роутер1.
В настройках DHCP прописываем диапазон настроек, скажем 100-200(оставляем места для статических адресов)
Роутер2
Прописываем адрес роутера в локальной сети. выбираем свободный(нигде не прописанный), скажем 2
Отключаем DHCP
Втыкаем шнурок от Роутер1 в порт LAN
Настраиваем WiFi с тем-же SSID и паролем, что и на Роутер1
Всё

Простейший микротик как маршрутизатор и 2-3 тупых свича на 5-8 портов(по 1к). На круг выйдет в районе 8к, что равно простенькому свичу L3. На микротике можно рулить этим всем, как VLAN, так и подсетями и мостами между ними(например, прописав маршрут на компе до видеорегистратора, обратного маршрута на регистраторе не будет и попасть с него на комп, или в подсеть с компом, будет нельзя)
Физическая защита по току будет так-же обеспечена копеечными свичами. Злоумышленников, кидающих 220 на витую я не встречал, но молнии жгут порты видеонаблюдения постоянно, наводя на длинную витую, даже с заземлённым экраном.

Вот что не понятно. На компе у тебя проводной интернет? Если да, то нужно проксировать трафик через прокси в России. Хотя не думаю, что это нужно, т.к. на проводном интернете провайдеры пока не приоритезирует трафик(насколько мне известно). А вот если интернет мобильный, где полосы "аплинка" делят гораздо больше клиентов, тогда в этом смысл появляется. Ну проксируй трафик через смартфон(тупо, раздавай с него вайфай), хотя и первый совет подходит.

Мне кажется, отвечающие смотрят в 21 первый век и сетевые технологии, а автор вопроса - в 20 век с лимитированным трафиком и техническое решение ему надо искать там. Всё верно, прокси-подмена сертификатов, но есть место, где сертификаты подменять не надо - на компе пользователя. Trafic Inspector(с удивлением узнал, что его даже развивают). Не знаю, как сейчас, но лет 10 назад на каждую рабочую станция ставился агент, который слал статистику на сервер и там сводил всё в табличку по типу трафика, по ip и по доменам.

я так понял, это всё декстопные окна и они в одноранговой сети. А, тупо, сетевое обнаружение отключено, не?

О да, "прошлый век", говоришь, "нокиа" говоришь? На днях современный ASUS-роутер притащили, "можешь VPN настроить?". Глянул в веб-морду-есть кнопка -могу, наверно. И действительно, VPN поднялся в пару кликов. Но в таблице маршрутов появилась строка с дефолтом через VPN, через телнет можно поправить, до перезагрузки.
Как мне хотелось, чтоб это была циска без вебморды....

Создайте новую группу, можно с тем-же именем и введите остальных 2 компа в неё, можно через флешку(если все копы от вин7 и выше(а хп так и разницы не заметит)), можно введя код. В чём проблема-то, 3 не 300.

Проброс порта-это то, что в первую очередь должен изучить 10-летний школьник, который задумался "А может мне стать сисадмином". В случае отсутствия белого IP у конторы (что бывает редко, но бывает) есть сервис т.н. DDNS. В подавляющем большинстве случаев, камера может работать с ним самостоятельно (проброс портов это не отменяет). Часто он предоставляется производителем камеры, часто бесплатно. Ну и "крутой" сисадмин, намекая на премию, представит руководителю камеру (или пул камер) на доменном имени(что так-же можно организовать на микротике без особых заморочек, но за 200 руб/год). Некий шик, в виде мобильного приложения, будет у видеосервера, как приложения. Можно подобрать условно-бесплатный, с ограничением по количеству камер (а можно и совсем free).