Максим Гришин

Лучше используйте ebtables для этого, она как раз работает на втором уровне.

Если 172.24.1.0 натится на своем роутере, то никак - 10.8.1.1 уже не знает о сети 172.24.1.0. Если роутится, то используйте policy-based routing, чтобы пакеты с данного хоста маршрутизировались по другой таблице, в которой маршрут по умолчанию будет отличаться от общего.

Для нескольких - лучше докер, в каждом контейнере свой набор (l)amp.

С точки зрения производительности - особо ничего, можно отключать службы, которые отвечают за функции, которые вы конкретно не используете в принципе. Если ищете, что бы такое отключить, отключите DiagTrack.

Без планировщика вообще - никак. Без конкретного - использовать другой планировщик. Так или иначе вам нужен процесс, следящий за временем, и знающий, что нужно запустить, такой процесс называется планировщиком по роду деятельности.

TMG2010 (и то не самое хорошее).

Раздать ей сеть, расшаренную с адаптером хоста, выдать айпишник из своей подсети (или получит по DHCP от роутера, если он есть), и соединяться потом.

При монтировании указывайте -o vers=2.0 или 3.0. На 2016м SMBv1 может быть отключен по умолчанию уже, либо как одно из обновлений безопасности, в связи с найденной уязвимостью, а именно он используется по умолчанию при попытке примонтировать CIFS.

Обычный net use, из павершелла new-psdrive с указанием кредов, либо runas /user:domain\user powershell.exe /command "new-psdrive -persist (остальные параметры)". Может, этого хватит?

Зачем манглить на микротике, когда надо настраивать туннель на Х.Х.Х.Х, чтобы указать ему, что доступ к сетям 10.10.0.0/16 идет через 10.1.0.2 (ip route add 10.10.0.0/16 via 10.1.0.2)? После чего трафик из туннеля на тике натить никуда не надо (т.е. в vlan10-20 трафик должен роутиться), и хватит. Тогда машины в вланах будут видеть второй стороной 10.1.0.1, отправлять обратные пакеты на свой шлюз 10.10.х.1, а тик уже разберется, что 10.1.0.1 находится у него за туннелем и туда и запихнет ответный пакет.

RRAS поднимите, для начала, он по умолчанию отключен, и поэтому машина не передает пакеты между интерфейсами.

Если самба на керберосе, сверьте время на машинах - может линухи на 3 минуты отстают, а вин1 спешит относительно вин2, как результат, вин2 пролезает в пятиминутное окно на всех машинах, а вин1 не пролезает на линухи.

На проброс DNS повесьте флаг no-payload, иначе циска лезет в пакеты DNS и адреса подменяет при выдаче. У нас так однажды приватные адреса из 192.168 попали в публичный DNS-кэш, было весело траблшутить.

Насчет "не работает" - а пакеты из 192.168.1.0 в 172.16.1.0 вообще ходят?