Станислав Валсинатс

Проект Admin PE.
Разработчик уже всё сделал за Вас. Остаётся только записать на фрэшку и пользоваться.

А чего их создавать? Готовые есть, включающие в себя всё нужное и ещё много сверх того. Как говорится, скачай и пользуйся.
Лично я несколько лет пользуюсь сборкой MultiBoot 2014 года, имеющей на борту несколько версий WinPE (на базе от XP до Win8, не запустится одна - запускаем другую, какая-то обязательно пойдёт), несколько установочных образов Винды (от XP до Win8.1, 32/64 всех версий - от Home до Pro и Ent, чистота, т.е. отсутствие довесков от автора сборки, проверена на практике), несколько сотен утилит в ремонтно-восстановительном пакете 2k10, а также наиболее часто применяемые утилиты доступны прямо из корня. Эта сборка немного устарела (нет поддержки UEFI, и нет образа Win10), но автор уже исправил это и создал современные версии. Они (и множество других) доступны на Рутрекере (раздел "Сервисное обслуживание компьютера").

Не к вашему запросу, но есть и такое. HDD с эмуляцией ODD. https://www.zalman.com/ru/contents/products/view.h...
Использую по сей день и не мучаюсь с загрузочными флешками

Если у вас web-сайты, то вполне можно обойтись и одним ip-адресом! Для этого просто достаточно настроить ваш роутер или web-сервер или reverse-proxy. Это будет гораздо лучше, чем использование еще одного адреса.
Вот например как сделать переадресацию по HTTP/1.1 https://netflow.by/blog/item/185-proxy-mikrotik

Регулярка на L7 не умеет работать по схеме, всё кроме выражения.

- Помечаете через mangle соединения, соответствующие попыткам подключения этого компьютера к серверам windows update и нужному сайту на прероутинге либо на форварде, со снятой галкой passtrought
- В фаерволе на форварде разрешаете промаркированные таким образом соединения, и запрещаете все прочие для этого компьютера (не забыв разрешить dns и ntp, конечно)

Возможно в вашей сети есть элементы видеонаблюдения из китайского набора. Некоторые сетевые камеры и регистраторы могут поднимать DHCP. Настройки такого девайса могут сброситься на "по-умолчанию" из-за сбоя по питанию.

Посмотрел предыдущие темы. Вы смешиваете трасерт, пинг, dhcp, сканирование сети все в одну кучу.

Судя по первой теме, в вашей сети есть альтернативный dhcp. Следует понимать, это не обязательно сам сервер, это может быть realy. При этом это может быть как ваш relay в следствии ошибок в настройке, так и "левый".
Но следует понимать, что если адрес dhcp находится не в вашей подсети, это может быть два разных узла. Т.е. узел в ваше подсети или relay получил широковещательный запрос dhcp от вас, ответил вам и представился определенным ip. Но поскольку этот ip не в вашей подстеи, то трафик на него пойдет через шлюз, таким образом о можете перейти на совсем другой узел.
Пример:
Я поднимаю в вашей сети dhcp и руками прописываю ему ip yandex. Вы получили адрес и пытаете мой ip пинговать, но трафик пойдет на шлюз и шлюз его отправит на yandex и узел yandex'а вам ответит.

Вам нужно найти dhcp в сети который вам "делает пакости". Для начала посмотрите wireshark mak адрес который вам отвечает. Попробуйте его найти на коммутаторах. В худущем случае сужайте домен, можно даже физически отключая свичи или вставляя в разрез грамотно настроенный микротик.

Потому что в Ip/DNS или не прописаны днс сервера или не включена галка Allow Remote Requests

p.s. Не забывайте еще такой момент, что резолв днс в винбоксе происходит исключительно с помощью тех днс серверов, которые прописаны на компе в этот момент. Сам микротик резолвит из тех, что прописано в ip/dns и бывает так, что пинг или трейс до некоего ресурса по доменному имени из телнета микротика и из винбокса отличаются.

+1 к OpenVPN, сертификат сервера можно интегрировать в конфигурационный файл, а авторизацию сделать через LDAP/AD (у вас же наверняка есть домен в организации), сама конфигурация устанавливается просто двойным щелчком мыши, если установлен клиент, конечно. Огромным плюсом openVPN является возможность отправлять клиенту маршруты в вашу корпоративную сеть, таким образом через ваш VPN шлюз не пойдёт весь клиентский трафик, а только тот что нужен.

Если задача стоит в том, чтобы завернуть весь трафик сети через VPN, то просто указываете VPN-тунель в качестве интерфейса в правиле SRC-NAT

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=VPN

С добавлением подсетей, надеюсь, справитесь. А ограничение можно сделать так.

/ip firewall address-list add address=192.168.90.0/27 list=privatelans
/ip firewall address-list add address=192.168.100.0/27 list=privatelans
/ip firewall address-list add address=192.168.110.0/27 list=privatelans
/ip firewall filter add action=reject chain=forward src-address-list=privatelans dst-address-list=privatelans

Первые три команды создадут адрес лист с изолированными подсетями. Четвертая команда добавит правило фильтра, запрещающее трафик между ними. Его необходимо поднять выше всех разрешающих правил. Если нет запрещающих правил в подсеть 192.168.80.0/24, то все три будут иметь к ней доступ.

На сколько знаю, правила созданные в ручном режиме не могу сами по себе удалятся.
Их кто то намерено гасит, скрипт или руки.
Проверте логи, проверте скрипты, шедулер, настройте оповещение по e-mail если кто то залогинелся, отключите не используемые сервисы, ограничите вход с определенных портов.
Я думаю что на 90% вас кто то ломает.
Короче идите в сторону повышения уровня безопастности!

Думаю дело в протоколах. Включи в виндах подддержку устаревших протоколов, это находится в установка и удаление компонентов(глянь в интернете поточнее) . Или в линуксах прочитай про опцию client min protocol = в smb.conf - это про вход на виндус.
А про видимость windows сети, если Вы имели ввиду отображение сетевого окружения то возможно это связано тоже протоколами smb и все исправится после 1 абзаца, если нет то почитайте про службу wins и мастер браузер в сетевом окружении виндовс из под linux и про опции local master = , os level = , preferred master = и wins support = - эти опции в smb.conf отвечают за то чтобы мастером стал сам linux(возможно опции устарели это из старых моих запесей)
Еще вариант если не пускает на шару винды:
[Конфигурация компьютера]➙[Административные шаблоны]➙[Сеть]➙[Рабочая станция Lanman]➙[Включить небезопасные гостевые входы]➙[Включено]
Это прокатывало на 10ке, когда мне нужен был тупо доступ без затей.

Да батенька, подкинули вы задачку.
- Для начала, выкинуть, от слова совсем, все DLINK'и ибо подобная пакость некошерна.
- Сеть резать крупными кусками (по 24й маске, в крайнем случае по 25), покампусно, даже если на этаже/здании 10 человек;
- Прикупить для ядра микрот, в идеале ccr1036, на второй уровень сойдет и crs326 (покупать 1хх-2хх не стоит ибо устарело);
- DHCP полностью возложить на микрот в ядре, аплинк - dhcp сервер. С DNS на Windows Server, нормально "подружится", главное разрешить динамическое обновление;
- про VLAN забыть так как я понял сеть одноранговая;
- удаленное управление организовать лучше всего через Radmin (если денех нет, то в сети куча ломаного, но прикупить десяток лицензий для очистки совести стоит), подключаться по доменному имени, а не по IP;
- PXE - почитайте по WDS (Windows Deployment Services);
- Учет трафика пользователей, а есть ли смысл ? Гораздо легче при наличии нескольких провайдеров настроить очереди и пошаманить с маршрутизацией, Если хочется "закрыть" вконтактики и прочее, почитайте mikrotik layer 7 https, но это лучше делать на отдельной железке, процессор кушает очень хорошо;
- Обезопасить себя от непрописанных в DHCP подключений можно тупо сделав привязку по мак-адресу, но весь смысл от DHCP тогда теряется. А так это слишком большая тема и очень много вариантов решения.

p.s. Неразумная экономия никогда не приводила ни к чему хорошему.

В текущей конфигурации у вас вероятно не работает hw-offload. Перенастройте с одним бриджом по примеру из wiki.
https://wiki.mikrotik.com/wiki/Manual:Interface/Br...

правило masquerade/src-nat на микротике-vps есть? обратный маршрут в домашнюю локалку есть?

Vlan, intervlan routing, dhcp-relay, dhcp..-snooping... +мониторинг инфраструктуры, серверов - zabbix или аналоги