Максим Гришин

Руководство "Как пользоваться гуглом для поиска информации".
Потому что на эту тему здесь стопицот вопросов.

Без стороннего сервиса - абсолютно никак.

Сторонний сервис можете поднять и сами в виде VPN, но я бы просто воспользовался тем же Хамачи или аналогами.

Потому что

1) На Основном роутере включена маршрутизация
2) На компьютерах отделов правильно настроен шлюз в подсети других отделов.

В "подсетях" нарисован Switch, а не Router.

Switch - по сути разветвитель, без маршрутизации. Так что получается, что все в одноранговой сети.

Он по http отвечает, а по https нет. Проверяйте настройки своего апача (ну либо провайдер закрыл 443-й порт).

➜  ~ curl -v ladurbo.tk
*   Trying 85.21.240.124:80...
* TCP_NODELAY set
* Connected to ladurbo.tk (85.21.240.124) port 80 (#0)
> GET / HTTP/1.1
> Host: ladurbo.tk
> User-Agent: curl/7.68.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 06 Jun 2021 14:20:59 GMT
< Server: Apache/2.4.41 (Ubuntu)
< Location: https://ladurbo.tk/
< Content-Length: 303
< Content-Type: text/html; charset=iso-8859-1
<
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="https://ladurbo.tk/">here</a>.</p>
<hr>
<address>Apache/2.4.41 (Ubuntu) Server at ladurbo.tk Port 80</address>
</body></html>
* Connection #0 to host ladurbo.tk left intact
➜  ~ curl -v https://ladurbo.tk
*   Trying 85.21.240.124:443...
* TCP_NODELAY set

Все зависит от того что будет выполняся на сервере и какие требования к ПО. Если это древние версии то CentOS, если нужна стабильнось то Debian. Если нужны последние версии ПО, то лучше Ubuntu.

Что бы понять о чем речь, попробуйте сравнить какие версии того же php | MySQL, python по умолчанию входят в пакетные менеджеры. Да, всегда можно подключить сторонний репозиторий и подтянуть свежак (привет от CentOS и Debian), но тогда про аргумент "стабильный" и "провереный" дистрибутив можно забыть.
Моя рекомендация Ubuntu. И версии По более менее свежие найти в Интернет помощь по настройке Ubuntu сильно больше (тот же askubuntu.com)

У вас на сервере поднята роль RAS и работает DHCP Relay Agent, который в качестве посредника выдаёт адреса клиентам. Если погуглить, то обнаружится, что аналогичный вопрос на разных форумах задавали неоднократно, по крайней мере с 2004 года. Даже в ответах прямая ссылка на статью Microsoft уже прокисла, так что вот из архива:
https://web.archive.org/web/20120421065815/http://...
Плюс это: https://www.google.com/search?q=dhcp+relay+agent+w...
Ну и как найти ответ:

Если у вас один внешний адрес, и 80 с 443 портом уже чем-то заняты - ничего особо не сделаешь, если только заруливать те, старые сервисы тоже через нгинкс (потенциально проблематично).

Если у организации несколько внешних адресов - можно пробросить 80 и 443 порты с другого, ещё не занятого айпишника.

Но вообще странно - что там у бухгалтерии за сервисы, занимаюшие HTTP/S?

подозреваю, что вы задаёте этот вопрос ранним утром, не вполне проснувшись.

Есть на борту TP-Link TL-er6120.

На борту чего? Вы находитесь на судне или на авиалайнере? :)

Сеть идёт: провайдер - медиаконвертер - kerio - switch, мне надо отделить эту сеть

Отделить от чего? :)

знаю что есть веб интерфейс, там что каждому порту можно прописать ip/mask?

Если боитесь сразу зайти на веб-интерфейс реальной железяки, то есть эмулятор на официальном сайте:
https://www.tp-link.com/ru/business-networking/vpn...

Каким образом тп линк поймет что ему надо отдавать динамику в свитч?

Вот я никогда не держал в руках названную модель маршрутизатора. Загуглил, перешел по ссылке в эмулятор и даю ответ: Network -- LAN -- DHCP Server, для этого даже мозг не нужен, глаз видит, палец жмакает мышку.

А была бы в руках реальная железка - и эмулятор не нужен.

Каким образом прописывать статику от провайдера для tp-link'a

Аналогично, Network -- WAN -- WAN1 -- Connection Type -- Static IP

Каким образом настраивается базовая безопасность в tp-link'e?

Если базовая, то настраивать ничего не нужно. Базовая обеспечивается из-коробки. Всё что сверх этого - не базовая, и зависит от конкретных требований, задач и т.д.

P.S. кстати, функциональностью такого маршрутизатора я разочарован (заочно). Стоит не дёшево, позиционируется как устройство бизнес-уровня, а функциональность хилая. Вот управляемые свитчи от TP-Link радуют соотношением цены и фунциональности, а маршрутизаторы печалят.

https://en.wikipedia.org/wiki/IEEE_802.11w

Устройства с поддержкой 802.11ac должны поддерживать 802.11w

67 бит это мало.
100-128 бит вполне достаточно для текущих вычислительных мощностей.
256 бит, которые используются в большинстве современных криптосистем - overkill с огромным запасом.
Но надо понимать, что это всё теория, где имеется идеальная безошибочная реализация криптоалгоритма и используется действительно уникальный, никому не известный ключ.
Так же надо учитывать, что сам алгоритм может быть уязвимым для квантовых алгоритмов. Пока ещё у людей нет квантовых компьютеров, способных взломать, например RSA, но они могут появиться в будущем. Более уязвимы ассимитричные алгоритмы, симметричные будут вполне устойчивы даже после квантовой революции.
Единожды взломанная база данных какого-нибудь интернет-магазина делает ВСЕ пароли, которые были использованы его пользователями, уязвимыми, даже если это хорошие пароли, потому что сначала будут использовать не брутфорс, а атаку по словарю, в котором уже будут эти пароли.
Пользователь-идиот - классический вектор атаки. Соц. инженерия, кейлоггеры, зловреды - вполне рабочие инструменты.
Ну и главное - универсальный метод взлома - терморектальный криптоанализ, имеющий практически 100%-ю эффективность.
ФСБ будет действовать именно так, как показано на картинке от XKCD:

Если вы имеете ввиду обычный шаред хосинг на линуксе то там один аккаут = один системный пользователь, поэтому ответ - никак. Самое простое решение - сделать на каждый сайт по аккаунту(системному пользователю).