Дмитрий Александров

Могу посоветовать:
-gre тунели, даже статейка на хабре есть
-можно еще попробовать экзотику в виде eoip
-vxlan

Согласен с Gansterito добавлю следующее.
Возможно у МТ особые правила ната\фаирвола и возникает проблема в виде битых пакетов или "излишних" ack.
Если включен upnp то посмотри что там прописывается в моменты тормозов, возможно злостный вася решает покачать фильмов торентиком а торент в свою очередь пробивается по upnp во внешку раздавая трафик.
Как вариант возможно вин10 начинает шарить и раздавать обновления по локалке.

Если так хочется изучить линуксы то самый лучший вариант поставить себе на десктоп\ноутбук обычную десктопную систему без варианта загрзуки\дуалбута с виндой. Для начала что нибудь типа opensuse\арча\убунты. Когда пройдет с полгода-год и появятся проблески в понимании и удобстве\неудобстве можно думать о роутере и лучший вариант будет что то на WRT прошивке обычного роутера. А уже после этого двигаться в сторону х86 больших домашних серверов.

Сделать правило в фаирволе перед правилом разрешения доступа к vpn порту или прямо в самом правиле vpn. Для хранения списка ip адресов можно использовать address list'ы.

CRS109-8G-1S-2HnD-IN можно еще глянуть. А вообще (не реклама) посмотри на ланмарте, у них выбор больше в т.ч. и полно снятых с производства моделей.
По хорошему главный критерий для тебя это то какой трафик пойдет через cpu а какой через хаб. Просто если ты планируешь гонять с большого числа портов трафик через cpu то рискуешь нарваться на то что порты гигабитные, между портами тоже гигабит а в случае трафика через cpu весь хаб всего гигабитом сцеплен и скорость с порта на порт будет уполовинена.

Снифером посмотри кто кого не понимает.

Для роутера и фаирвола идеально будет каконйнибудь mikrotik. Настроете и забудете про него, если что то вдруг случится то меняется на другой mikrotik и заливается конфигурация. Настраивается удобно, стабильный.
Для фалопомойки абсолютно любая самая дешевая материнка с самым дешевым камнем с гигабитной сетевой и парой сата2\3 портов. В роли OS freeBSD, в роли fs использовать zfs. Проблема с рейдом сразу решена. За глаза хватит даже неттопа или mini\micro itx мамки даже с атомом но лучше селероном.
Насчет резервирования. Как заметили выше не стоит резервировать все на тех же серверах. Первая причина отказоусточивость, 2я это бюджет. Есть другая схема более изящная для начала:
1) Покупаем место в облачном диске(ядиск идеален т.к. умеет webdav). К примеру 1тб в месяц стоит что то около 200 рублей что сущие копейки.
2) Цепляем ядиск в файлопомойку.
3) Пишем пару простых скриптов(очень важный бэкап и не особо важный но нужный).
3.1) Скрипт "очень важный бэкап" запускается n-раз (раз в сутки ночью например) и копирует на ЯД все особо важные файлы(к примеру базы 1С, что то бухгалтерское)
3.2) Скрипт "не особо важный но нужный" запускается раз в неделю\месяц и делает полный бэкап всех документов и т.д.
4) После того как все настроили делаете к примеру акронисом или чем угодно удобным вам образ винта сервера и критически важных машин(бухи\бос) и прожигаете на болванку.

1) В конечном счете сеть контролируется mikrotik'ом который удобен в настройке и очень быстро можно заменить даже без знаний настройки путем разворачивания конфигурации.
2) Файловая помойки живет хорошо и в нужном рейде. Даже если подохнет то критически важные файлы для работы прям щас и сейчас будут доступны на нужных машинах через ЯД. После устранения проблем с сервером все вернутся в штатный режим
3) Бэкапы лежат не у вас и не надо переживать о их сохранности.
Все железо занимает крайне мало места, роутер микрота мал и тихий, файлопомойка собранная на холодном камне и за копейки может быть с пассивным охлаждением. Все максимально бюджетненько и даже в случае поломки в огромные деньги и простой не выльется.

Не совсем ясно есть ли фаирволлы. Но могу предположить следующее:
1) На первом тике фаирволом глушатся соединения в интернет для всех кроме 192.168.100.0/24.
2) Web сервер не знает где искать интернет =)
3) На 2м тике нет маршрута в интернет.

Вместо нагорождения очередных колхозов проще взять XMPP\IRC. Библиотеки есть вообще под любой язык, все максимально лаконично и обкатано десятками лет. В случае xmpp есть невероятное количество xep'ов на любой случай.

Можно сделать хитрую штуку через фаирвол. По ссылке пример с блокировкой по времени, вам же можно сделать блок не по времени, а скажем просто сделать запись в логе или сразу на мейл отправлять сообщение. Можно опять же по образу и подобию примера сделать список как в примере но не резать его совсем а просто выкинуть в другое правило и он целый час\6\сутки\неделю будет наслаждаться скоростью в 100кб\с.
Другой вариант задействовать QoS. Тогда качать могут спокойно но подвинутся если кто то другой захочет тоже что то покачать.
Микротики очень классные штуки и практически любую задачу можно решить штатными средствами, крайне рекомендую полазить по их вики с примерами разных финтов.

Попробуй в /etc/hosts.deny прописать бан по принципу:
<служба или ALL>:
Пример:
smtp: mail.test.ru
sshd: 210.123.134.56

Java очень разносторонняя и ткунть в живой пример почти нереально. Она может быть задействована на любом участке сайта.
Т.е. ,например, она может вообще весь сайт генерировать(скажем так вместо php весь сайт генерируется с помощью явы). Или это может быть только кусочек на странице. А может быть такое что она висит только в бэкенде и работает с базами и т.д.
Вещь очень специфичная, как подметили выше, и используется в основном в очень больших и сложных проектах. В остальных случаях это пальба баллистическими ракетами по мухам.
В пример могу подкинуть пару CMS написанных на яве.

Поднять свой dns сервер, на роутере указать раздавать его ип как днс сервер, собирать списки кто на какие сайты бегает.

-удалено по просьбе-