res2001

Микросовтовский Network Monitor сгодится или любой другой снифер.

18 - это длина маски сети в битах, т.е. количество единиц в битовом представлении маски.
Если представить IP 10.120.100.255 адрес в двоичной системе, получим:
0000 1010.0111 1000.0110 0100.1111 1111
Отсчитываем слева 18 бит - их оставляем как есть, остальное добиваем нулями:
0000 1010.0111 1000.0100 0000.0000 0000
Переводим в десятичную систему побайтово:
10.120.64.0 - это адрес сети.
Все IP адреса, у которых после этой процедуры получится такой адрес сети, принадлежат этой сети.
На самом деле, анализируя цифру 18 ясно, что последний значащий бит в маске находится в третьем байте адреса, поэтому достаточно было провести подобную операцию только над третьим байтом, оставляя в нем (18 минус 16) значащих левых бит маски, а остальные 6 бит забив нулями. При этом 1 и 2 байт будут как есть, а 4 байт - ноль.
Другой способ - через логическое И (этой операцией легко обнулить незначащие для адреса сети биты):
255.255.192.0 & 10.120.100.255 = 10.120.64.0
Число 255.255.192.0 - это левые 18 бит заполненные единицами остальные 14 бит добиты нулями.
В общем все довольно легко, если иметь под рукой двоичный калькулятор. Небольшая практика и дело в шляпе.

На счет безопасности ОС - это, видимо, не к Забиксу.
Для контроля целостности ОС можно воспользоваться чем-нибудь типа aide или подобной утилиты - по крайней мере узнаете не слишком поздно, что вас сломали.
Закрытый фаервол, авторизация ssh по ключу, бэкап - как-то все мимо забикса проходит :)

Полагаю в этом виноват: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy
Этот параметр надо сделать равным 1. Если его нет, то создать, тип DWORD.
Это UAC шалит - операция требует администраторских привилегий, а по сети вы не сможете повысить привилегии.
Этот параметр позволяет для сетевых взаимодействий отменить UAC, т.е. если вы зарегистрировались с правами администратора по сети, то будете иметь администраторский доступ без необходимости повышать привилегии.

В одноранговой сети винды есть такое понятие как master browser. Он выбирается "голосованием" компов им может быть любой комп с виндой. Задача masterk browser вести список компов в сети и отвечать на запросы.
Так вот, когда комп включен и отключен беспроводной мост, то master browser в вашей "отдельной небольшой сети" уже выбран среди доступных компов. В большой сети есть свой master browser. Когда вы подключаете сеть создается конфликт master browserов. Конфликт обнаруживается не сразу, уходит какое-то время на решение кто же все таки останется master browserом и после этого на уведомление рабочих станций об изменении master borwser. Потом компы должны зарегистрироваться в новом master browser, если это необходимо.
Когда беспроводной мост уже работает и вы включаете свой комп, то винда сразу обнаруживает нормальный действующий master browser и все работает.

Выход из положения я вижу такой: на всех компах в вашей отдельной сети запретить выборы master browser. Это делается правкой реестра:
HKLM\SYSTEM\CurrentControlSet\Services\Browser\Parameters
MaintainServerList="No"
IsDomainMaster="No"

У вас скорее всего Ubuntu сервер включен в WAN разъем WiFi роутера. Поэтому с точки зрения роутера Ubuntu - это внешняя система, а по умолчанию у подобных девайсов управление из вне заблокировано, в т.ч. и пинги и проч.
Кроме того на Ubuntu должен быть прописан маршрут до сети 192.168.0.0/24 (route print).

В вашем последнем рисунке по сути не 2 ДМЗ и ЛВС, а 3 сегмента ЛВС, ходящие через 2 фаервола, возможно с разными правами доступа к Интернет.
ДМЗ - правильно изображена на первом рисунке.
ДМЗ актуально для атак из вне. Если вам надо ограничить доступ к определенным сервера внутри ЛВС, то никто вам не мешает выделить их в отдельную сеть и защитить своим фаерволом. Но это уже не ДМЗ, а просто закрытый сегмент внутренней сети. Внутри своей сети можете городить какой угодно огород. Хотите разделяйте сети, хотите нет, хотите защищайте фаерволом и т.п. Главное не забывайте прописывать маршруты.

В вашем случае ВПН необходим, имхо.
Teamviewer - это все таки третья сторона, лучше бы обойтись без этого.
Можете поднять IPSec или OpenVPN для организации ВПН. IPSec в винде встроенный, правда настройка геморойная. В этом плане OpenVPN гораздо проще. Можно настроить оба вариант так чтоб автоматически ВПН поднималась.

Обычно используется стандарт 568B для 1Гб - там задействованы все 4 пары коннектора/кабеля. Для 2 пар все то же самое, только не используются пары: 4,5,7,8. Соответственно имеем:
1 - бело-оранжевый
2 - оранжевый
3 - бело-зеленый
6 - зеленый