Ингвар

1. примитивный Firewall после обновления венды может поехать )
2. второй косяк с таблицей роутинга на роутере. Были эксперементы? Оно могло сохраниться пока не очистишь.
3. Читал у буржуев подобные проблемы были: вдруг ни с того ни с сего. Надо что-то в системных политиках прописывать. Посмотрите в гугле: w.. 2008 rdp no connection system policy

Клиенты "кинетика" видят, так как он для них шлюз и он же поднимает через себя сеть через VPN (получает от впн сервера адрес, поднимает динамические маршруты). То есть он разруливает маршруты и является шлюзом в своей сети. Поэтому и работает. А вот чтобы видели машины сеть "кинетика" со стороны "микротика" — надо указать путь в разделе IP--Routes статический: дескать если нужна такая вот сеть -- шлюзом является.. является.. vpn-шлюз. Это теория.

На практике:

в разделе PPP создаетcя (или мы руками создает, тут не помню) интерфейс L2TP. В разделе IP --> Addresses ему присваиваем адрес (чтобы он стан полноценным шлюзом vpn) и уже в роутинге IP --> Routes прописываем, что для такой то сети, например, 192.168.1.0/24 шлюзом является адрес vpn шлюза. Еще очень советуют на интерфейсах включать проксирование ARP: Interfaces --> Interface и у каждого интерфейса в настройках: ARP --> proxy-arp

а этот "одноплатник" на Linux не запускает ли свой DHCP сервер, который начинает некоторое широковещание? два DHCP не живут в сети.

мини-сервер на Windows 10 (иначе модем на линуксе нестабильно работает)

Нужно раздать камерам адреса фиксированные... Я подумал, что нужно установить на винду DHCP сервер и раздать им, зафиксировав.

блин, какой ужос! я плАчу.

берете ZyXEL который теперь Keenetic и подключаете несчастные три камеры. Модем он съест сразу, можно и DHCP включить и потом фиксануть адреса, чтобы не менялись легко в интерфейсе. Там же сервис dyndns, чтобы залезать на роутер по имени my_ip_camera_router.dyndns_domain.org

хотел микротик предложить и vpn поднять, чтобы заходить по внутр адресу: но младшие модели не поддерживают USB модемы.

мини-сервер на Windows 10...

Все изучения чего-то дома в VMware очень похожи на домашние задания в школе или репетиции дома перед зеркалом. Какая-то польза от всего этого есть, но не сравнить с выходом на сцену. Мой личный рецепт: решать конкретные задачи. Нет на работе? Ставим дома сервер, поднимаем на нем одно, второе. Едем дальше, внедряем решения другим, кому что нужно, в конце концов ищем другую работу. Вчера на футбольном матче комментатор говорит -- вот этот футболист ушел из команды, где сидел запасным весь сезон с потерями в контракте в команду, где стал играть. Вообще, попасть в команду -- где работа сопряжена с постоянным проф. ростом -- где есть кому тебе все растолковать доходчиво -- мечта.

1. Первое правило -- не бежать впереди паровоза. Не бежать и позади. Ехать. Отсюда -- не создавать себе проблем заранее. Увеличиваем количество сервисов, работаем на энтропию. Все работает? 20 машин? ssh, rdp, vpn.

2. Второе правило -- не нервничать, вселять уверенность в других, решать задачи по мере поступления. Людям не нужны ваши админские плюшки: AD, WSUS, Ansible и т.п. Им нужно, чтобы все работало и если что-то отвалилось -- быстро восстанавливалось. Подумайте о втором, третьем резервировании. Запасной Интернет-канал, запасные виртуальные сервера, свичи, диски. NAS внутри и NAS снаружи, в облаке и т.п. (про бэкапы молчу)

3. Создавайте простые, но нужные сервисы людям. У вас уже есть джабер-сервер внутри для локального чата? Openfire+LDAP и люди оценят.

4. Хорошую вещь АДом не назовут. У вас 1 (одна! windows машина у HR). Зачем win-домен?! Чтобы было удобно что? Лениться? Повторю: ssh, rdp, через vpn за чашкой кофе утром в кафе. Компания Google как-то наверное обходится без домена, Apple тоже (надеюсь, точно не знаю ;)

Сорри за некоторую жесткость.

недавно столкнулся с подобным: просто написал "маска сети онлайн" — все время забываю как там единицы по октетам распределять )

Написать Интернет с большой буквы, как это было всегда принято. А вообще это скорее всего трабла сборки -- чего вы хотите от сборки? Чтобы все работало? Попробуйте другу сборку RemixOS или PhoenixOS (обе на Андроиде)

Ладно, дам нестандартный совет )

Если 20 рабмест, то зачем AD? (По моему мнению оно и на 40 мест не нужно) Сразу отпадает куча проблем. ДНС, DHCP и прочую сеть отдать микротику. Вот и вся миграция. На сервер поставить Proxmox и виртуальные машины какие нужны. Недавно поставил в vm на Ubuntu. MSSQL 2017 -- они выпустили это для Linux. Месяц полет нормальный. Для централизованной авторизации, если она нужна, можно использовать Samba4, LDAP от Synology и мало ли чего. И все самому без специалистов. И да, никаких Windows и Co.

нужно фильтровать https трафик с ключевыми словами в запросах

хочется сказать, что не нужно по идее ничего фильтровать, бесполезно и вообще, в школах вроде и так все за роскомпозорено, так что половина Интернета не работает. (личная практика)
вот простой пример: google translate может переводить целиком сайты и показывать оригинал. все вами заблокированные откроются там. без всяких vpn

у https траффик блокируется, а вот адрес сайта нет. можно, кажется, отсекать по адресу при установке соединения. Я решал конкретно задачу заблокировать facebook'a в офисе, который на https. Решилось днс-блокировкой только.