iddqda

в качестве коммутаторов покупаешь пару б/у цисок например такие WS-C3750X-48P-S
Только смотри чтоб L3 прошивка там была. И шнурки стековые. И блоки питания (их там по два вроде)

В качестве почтовика берешь обычный комп, ставишь на него любой Linux + docker и ковыряешь dockerhub на предмет готовых решений которые тебе подойдут. Например вот на этот комбайн посмотри https://mailcow.email/

Роутером можно пару микротиков взять. Модель подбирать под толщину аплинков.
Пару потому что они дешевые и их проще менять если что.

я так никогда не делал, но общих соображений накидаю. Вдруг поможет?

второй конец veth0 со стороны NS настроен?
а обратный маршрут есть? из vpn в 192.168.1.4?
в NS такое прописано sysctl -w net.ipv4.ip_forward=1?

какая интересная картинка
интересная тем, что судя по картинке и тому что написано в вопросе, L2 связность двух Core обеспечивается только этим твоим сбриджованным сервером. Уверен что через твой бридж мультикаст (hsrp) пройдет?
И зачем в этой топологии изначально L3 топологии вообще L2 использовать? Может OSPF сразу?

если только isp1 и isp2 поженятся и разродятся нетиповым решением в вашу пользу
а так вешайте два локальных ip на ваш сервер и на микротике пробрасывайте порт с каждого внешнего на каждый внутренний адрес

для удобства можно адрес сервиса менять в ДНС динамически при недоступности любого ISP

Я такой dyndns на обычном bind делал. Но в качестве клиента был нормальный полноценный Линукс сервер. Там нужно под каждого клиента создать пару ключей, поставить утилиту nsupdate и как то активировать запуск утилиты с нужными параметрами при смене адреса. Я делал такое ансиблом, но вряд ли это вариант для ваших нонейм роутеров. Хотя вроде опенврт и подобные можно так настроить. Тот же Линукс по сути.

С другой стороны у многих производителей дешманских роутеров есть свой динднс сервис. У кинетика есть точно и у асусов вроде есть. Ну и прочие производители часто встраивают клиентскую часть для всяких паблик динднс сервисов типа noip или cloudflare. Проще всего их использовать хоть и за денежку малую.

не знаком с пфсен, но вроде бы это файрвол.
а в файрволах по умолчанию есть зоны (inside, outside, итп)
разные интерфейсы могут быть в разных зонах, например локалка в inside, а ваш прямой канал outside
опять же по умолчанию, очень часто разрешен проход пакетов в сторону inside -> outside
а вот политику ouside -> inside необходимо прописывать явно
ну или внутренний и внешний интерфейсы в одну зону сунуть

Ну это смотря какое приложение этот TLS организует и поддерживает оно такой mitm и нет
например Firefox и Chromе кладут сессионный ключ в файл указанный в переменной окружения SSLKEYLOFILE
А wireshark умеет работать с этим ключом

да отфильтровать просто. типовая ж задача
выбирай как удобней
neighbor 2 distribute-list xxx out
neighbor 2 prefix-list yyy out
neighbor 2 route-map zzz out

ну или для джуника
policy statement bgp-export term 1 from route-filter 3 reject

А вот на ноуте с USB сетевой картинка рвалась и обнаружились потери пакетов.

т.е. потери пакетов обнаружились не на сервере, не на коммутаторах, а уже на конечном устройстве.
Ну и решайте проблему с конечным устройством тогда. Сервера и сети не должны решать проблемы индейцев.

стандарт 1000Base-T это вообще говоря не про скорость, а про принцип кодирования и передачи информации по физической среде (4 медные пары). т.е. это больше про совместимость по уровням сигналов.
Да, используя эту среду теоретически можно передать и получить (одновременно) поток фреймов в 1000Мбит/с.
Но если у ноута тормозной чипсет и он может передать максимум 150Мбит/с, то все равно в характеристиках его сетевухи будет 10/100/1000. Ведь 150 больше 100, а промежуточных от 100 до 1000 форматов нет.
Когда идет TCP поток, то flow control встроен в протокол и там проблем не возникает
с UDP все хуже. тут flow control обычно выносится дальше на уровень приложения.
В случае мальтикаста вроде таких механизмов из коробки нет. Можно только подписаться на канал с худшим качеством.
Кстати, ваш IGMP снупинг действительно может не работать или быть неправильно настроен. Или вы правда вливаете в ноут больше 10 потоков по 10 метров?

Ставьте линукс сервер на балконе (или VPS) и цепляйтесь к нему ssh+tmux
а для поиграть сервисы geforce now или google stadia (обещали в ноябре запустить)

Я делаю вот так
1. в snmptrapd прописываю OID трапа, который хочу ловить и обрабатывать и путь к обработчику
примерно вот так:

traphandle .1.3.6.1.4.1.9.9.315.0.0.1 /etc/zabbix/externalscripts/traphandlers/cisco-psec-traphandler.py
traphandle .1.3.6.1.4.1.9.9.548.0.1.1 /etc/zabbix/externalscripts/traphandlers/cisco-psec-traphandler.py

2. обработчики пишу на питоне. на перле уже даже моя бабушка не пишет.
3. в Заббиксе создаю item типа zabbix_trapper на хосте, который мониторю, точнее в шаблоне, который потом вешаю на хост.
4. из самого обработчика вызываю zabbix_sender который шлет нужное значение на нужный хост по ключу item-а созданного в 3-м пункте

а что касается чтения лога то этим кто-то должен заниматься.
в случае с мониторингом серверов, сервера сами это делают посредством агента, а кто будет это делать за вашу железку?

Вы похоже не очень хорошо разбираетесь в сетях
В результате неверно интерпретируете выводы Wireshark и идете ложным путем

поясните три момента
1.

приложения не видят устройства других сетей, хотя ping и TCP/ip соединения идут

что вы имеете ввиду под глаголом "видят"?
2.

Как сделать, чтоб при получении пакета о составе сети роутер сообщил о сетях за VPN?

Ваши приложения используют протоколы динамической маршрутизации?
3.

Как сделать чтоб роутер перенапрявлял L2 броадкаст по L2 туннелю к сетям?

Здесь конечно полная каша, но может имеется ввиду прокси-арп?

используй драйвер macvlan https://docs.docker.com/network/macvlan/

вот так примерно делается:

docker network create -d macvlan --subnet=10.2.4.96/16 --gateway=10.1.1.1 -o parent=eno1 mac_net
docker run --net=mac_net --ip=10.2.5.5 -it --rm busybox
/ # ping 10.1.2.10 -c 1
PING 10.1.2.10 (10.1.2.10): 56 data bytes
64 bytes from 10.1.2.10: seq=0 ttl=63 time=0.423 ms

docker run --net=mac_net --ip=10.2.5.6 -it --rm busybox
/ # ping 10.1.2.10 -c 1
PING 10.1.2.10 (10.1.2.10): 56 data bytes
64 bytes from 10.1.2.10: seq=0 ttl=63 time=0.423 ms

при этом tcpdump запущенный на хосте показывает такое:

10:29:07.257561 IP 10.2.5.5 > 10.1.2.10: ICMP echo request, id 1536, seq 2, length 64
10:29:07.257924 IP 10.1.2.10 > 10.2.5.5: ICMP echo reply, id 1536, seq 2, length 64
10:29:26.101902 IP 10.2.5.6 > 10.1.2.10: ICMP echo request, id 1536, seq 0, length 64
10:29:26.102431 IP 10.1.2.10 > 10.2.5.6: ICMP echo reply, id 1536, seq 0, length 64

Извини не понял зачем нужны сдвоенные вланы и QinQ
точек у тебя наверное много. Чтобы управлять ими нужен контролллер
Нормальные точки с контроллером сами контролируют заданную скорость.
А дальше в проводной среде можешь всех в один влан сунуть и DHCP выдавать из общего пула.
Посмотри как пример недорогого и вполне взрослого решения на Unifi
Точки стоят разумно, контролер бесплатный. Позволяет сделать группы пользователей, ограничение скорости, разные типы авторизаций. Поддерживает внешний captive portal. есть restful api и библиотеки для питонов и js