kprohorow

1. Обычный код на Go зачастую работает гораздо быстрее, чем аналогичный на php
2. Писать микросервисы на Go проще, и проще их контейнеризировать (в среднем)
3. Go сразу из коробки хороши интегрируется с devops инструментами, тк они на go и написаны, зачастую
4. Всякие компании типа Avito и Badoo просто таким образом избавляются от легаси, а переучить существующую команду на Go дешевле, чем переучить её-же на C++/Java/C#.

Оставь IP только на бридже, а с порта убери.

Потому что если Вы окажетесь жутким спамером/хакером/фишингером то в блэклистах например спамхауса окажется только один "белый" IP а вот если он будет динамическим и Вы будете всё время роутер перегружать то в блэклисты попадёт куча IP адресов - а зачем это провайдеру надо ?

прошить опенврт - поставить трансмишн.
раздачу через самбу или длна, по вкусу

0. Поставьте полностью управляемое оборудование (коммутаторы).
1. Сегментируйте сеть. По географии (корпус, крыло этаж), по структурным подразделениям (департамент, отдел) - как угодно. Отдельно - сегмент под камеры и СКУД.
2. Поставьте маршрутизатор/фаервол и жестко разграничьте внутренний доступ по функциональным критериям (типа инженерам-проектировщикам не нужен доступ в 1С, а бухгалтеру - в git).
3. Выпускать в public internet через прокси/фаервол с учетом прав доступа.

Как МТ1 может передавать информацию МТ2, о том, чьи пакеты кому принадлежат

Он это делает по-умолчанию, если не задействовать SNAT\маскарадинг на МТ1. Какой адрес был у ПК1, с тем адресом источника и придёт пакет на МТ2. От вас требуется только правильно указать маршруты.

Настрой SRC-NAT чтобы трафик с 10.0.0.2 натился в 1.1.1.1, а трафик с 10.0.0.3 натился в 2.2.2.2

Без добавления маршрутов "вручную" (или каким-нить топорным способом вроде RIP) здесь не обойтись. Ну или пускать весь трафик через роутер (использовать как шлюз по-умолчанию).

Всего этого геморроя можно было бы избежать, если изначально правильно планировать адресное пространство, в частности для локальной сети и VPN клиентов использовать сети из диапазона 10.0.0.0/8, например рабочая сеть 10.10.10.1/24, VPN 10.10.100.1/24 и т.п. То есть в вашем случае, просто перенастройте "локалку" и все VPN клиенты смогут подключаться без добавления маршрута и со снятой галкой "использовать шлюз по умолчанию для удаленной сети".

Насколько знаю ikev2 не умеет по psk. Клиент устанавливает защищенный SSL-тоннель с сервером, и уже внутри него передается логин-пароль. По умолчанию в Windows и macOS для передачи пароля используется алгоритм mschapv2. Таким образом с помощью SSL-сертификата клиент проверяет подлинность сервера, а по логину-паролю сервер проверяет подлинность клиента.

Подробнее: https://habr.com/ru/company/ruvds/blog/498924/

Скриптом, вручную, ansible

https://support.microsoft.com/en-us/topic/microsof...

4. If the name is still not resolved, NetBIOS name resolution sequence is used as a backup. This order can be changed by configuring the NetBIOS node type of the client.

В первом случае не скажу, а во втором - нет записи об этой машине в вашем днс сервере.
Тоже самое кстати и в первом случае, раз путти не видит её по домену