Ингвар

1. примитивный Firewall после обновления венды может поехать )
2. второй косяк с таблицей роутинга на роутере. Были эксперементы? Оно могло сохраниться пока не очистишь.
3. Читал у буржуев подобные проблемы были: вдруг ни с того ни с сего. Надо что-то в системных политиках прописывать. Посмотрите в гугле: w.. 2008 rdp no connection system policy

Клиенты "кинетика" видят, так как он для них шлюз и он же поднимает через себя сеть через VPN (получает от впн сервера адрес, поднимает динамические маршруты). То есть он разруливает маршруты и является шлюзом в своей сети. Поэтому и работает. А вот чтобы видели машины сеть "кинетика" со стороны "микротика" — надо указать путь в разделе IP--Routes статический: дескать если нужна такая вот сеть -- шлюзом является.. является.. vpn-шлюз. Это теория.

На практике:

в разделе PPP создаетcя (или мы руками создает, тут не помню) интерфейс L2TP. В разделе IP --> Addresses ему присваиваем адрес (чтобы он стан полноценным шлюзом vpn) и уже в роутинге IP --> Routes прописываем, что для такой то сети, например, 192.168.1.0/24 шлюзом является адрес vpn шлюза. Еще очень советуют на интерфейсах включать проксирование ARP: Interfaces --> Interface и у каждого интерфейса в настройках: ARP --> proxy-arp

а этот "одноплатник" на Linux не запускает ли свой DHCP сервер, который начинает некоторое широковещание? два DHCP не живут в сети.

мини-сервер на Windows 10 (иначе модем на линуксе нестабильно работает)

Нужно раздать камерам адреса фиксированные... Я подумал, что нужно установить на винду DHCP сервер и раздать им, зафиксировав.

блин, какой ужос! я плАчу.

берете ZyXEL который теперь Keenetic и подключаете несчастные три камеры. Модем он съест сразу, можно и DHCP включить и потом фиксануть адреса, чтобы не менялись легко в интерфейсе. Там же сервис dyndns, чтобы залезать на роутер по имени my_ip_camera_router.dyndns_domain.org

хотел микротик предложить и vpn поднять, чтобы заходить по внутр адресу: но младшие модели не поддерживают USB модемы.

мини-сервер на Windows 10...

Второе соображение, касаемое падения скорости: посмотрите на загрузку процессора у аппарата. Или в терминале, или через виджет на стартовой странице веб интерфейса. У нас недавно была история, когда антивирус DrWeb на клиентах Win7 "вешал" Synology у которого загрузка процессора приближалась к 100%. Техпод от DrWeb порекомендовала пару ключей в samba.conf -- пока полет нормальный.

Не забудьте, у Synolgy две сетевые карты можно легко через интерфейс объединить в одну (bond) и по проводу получить условные 2Гбита )

Не так. Один адрес белый идет на сетевую карту самого проксмока и на ней прописывается маска и шлюз. Далее через bridge эта сетевая карта кидается в вм внутри которой или которых уже прописываются необходимые указанные адреса на появляющуюся в машине сетевуху.

Ладно, дам нестандартный совет )

Если 20 рабмест, то зачем AD? (По моему мнению оно и на 40 мест не нужно) Сразу отпадает куча проблем. ДНС, DHCP и прочую сеть отдать микротику. Вот и вся миграция. На сервер поставить Proxmox и виртуальные машины какие нужны. Недавно поставил в vm на Ubuntu. MSSQL 2017 -- они выпустили это для Linux. Месяц полет нормальный. Для централизованной авторизации, если она нужна, можно использовать Samba4, LDAP от Synology и мало ли чего. И все самому без специалистов. И да, никаких Windows и Co.

нужно фильтровать https трафик с ключевыми словами в запросах

хочется сказать, что не нужно по идее ничего фильтровать, бесполезно и вообще, в школах вроде и так все за роскомпозорено, так что половина Интернета не работает. (личная практика)
вот простой пример: google translate может переводить целиком сайты и показывать оригинал. все вами заблокированные откроются там. без всяких vpn

у https траффик блокируется, а вот адрес сайта нет. можно, кажется, отсекать по адресу при установке соединения. Я решал конкретно задачу заблокировать facebook'a в офисе, который на https. Решилось днс-блокировкой только.

restore reboot rx -- программа возвращает все в исходное положение после перезагрузки. Ставил в общественном месте бесплатную версию иногда бывали сбои и записи пользователей просачивались. Накатывал заранее подготовленный образ со всеми программами (~15 мин.)