Валентин

1) Дешевые устройства в подавляющем случае не поддерживают ни RADIUS, ни удаленный syslog. Но можно прошить wrt. Но наверно проще запилить скрипт для настройки через веб-интерфейс.
2) Первый вопрос вообще не понятен... Учетных записей для чего? Для доступа в интернет по вай-фай по пользовательской учетной записи? А как сейчас это делается? Или для доступа в админку устройств?
3) Второй вопрос - freeradius можно интегрировать с LDAP, радиус на виндоус интергирован в LDAP сразу.
4) Третий вопрос решается скриптами (под линукс скрипт в кронтаб)
5) Сислог вообще никак с радиусом не связан. Совершенно отдельная служба, есть и на вин, и на никс.

Или на чем поднять радиус

Если я правильно понимаю цели, то проще на Linux freeradius, так как он более кастомизируемый.

Чтоб запилить на малинке к примеру

Это не комплекс для минипк. Замучаетесь искать сборки для ARM, делать обновления.

А что там писать? Вы строите туннель от ПК до первого сервера, затем туннель с первого до второго, со второго до третьего. На всех серверах настраиваете маршрутизацию (статическую?). Как настроить впн на линукс и виндоуз статей полно, нужно просто сделать это три раза

надо включить нат и маршрутизацию на клиенте два. И надо понимать, что нат и прокси - совершенно две разные вещи. Первая технология меняет заголовки пакетов, вторая отправляет запрос заместо клиента.

Полноценное понимание работы линукса ко мне пришло после перехода на Gentoo + fluxbox и работы в этом окружении пары лет.

Терминал - то, что отображается при Ctrl-alt-F1, Ctrl-alt-F2. Вернее, это виртуальные терминиалы. Терминал - устройство.
Эмулятор - gnome-terminal, xterm, etc... Эмулятор - программа, предоставляющая функционал терминала.
Консоль - общее название и того, и другого.

В явном виде нет, но можно поиграть с такими утилитами, как etables, brctl. Однако вам это не поможет, так как для одного ip адреса в общем случае всегда только один Mac-адрес. Почитайте, как работает ARP. Лучше жёстко привяжите сертификаты.

Какие должны быть маршруты при Site to Site OpenVpn?

Те, которые вам необходимы. Согласно разработанному адресному плану и схеме связи.

Теория: для монтированя выполняется еоманда mount. При автомонтировании висит скрипт на автозагрузку (вход в систему), в котором также прописана эта команда mount. Монтирование флешек - просто висит демон, который следит за появлением блочных устройств в системе. Когда они появляются, также выполняется mount.

mount сама по себе требует рутовых прав, однако современные тулзы (gmount, fuse) разрешают делать монтирование из обычного пользователя

Схема изначально кривая. Настраивайте либо несколько vrf, либо source based routing. Ну или все же поделите на две сети.

Сделайте фильтрацию в цепочке PREROUTING. Или, как вариант, не обязательно делать SECONDARY адрес. А еще можно сделать реально на различных подинтерфейсах - loopback (unnumberred), subif (vlan).

По умолчанию, все пользователи на шлюзе редиректятся на внешний сервер. В том случае, если внешний сервер по радиусу дает добро "access-accept", шлюз убирает правило iptables с редиректом и дает доступ в интернет.

Погуглите в сторону "Linux ISG"

Есть такой протокол, FLIP. Хоть это и драфт, но он уже где-то внедрен. Скорее всего в реализации некоторых устройств он зашит и dhcp сбрасывает при отсутствии связи. Вернее, они в качестве IP-броадкаста его используют вместо FF.FF.FF.FF.

P. S. Зачем резать мультикаст на брасе ACL? Это же геморно - надо вешать на каждый подинтерфейс, да еще и будет грузить рутер лишний раз. Обычно это делают либо на коммутаторах (если один влан на нескольких пользователей), либо заворачивают на брасе в Null.

UPD: IANA вполне четко определены зарезервированные мультикастовые адреса для dhcp-запросов. Можно допустить, что какая-либо модель или прошивка средне попсовых клиентских устройств придерживается этих рекомендаций. В конце концов широковещательный или нет адрес - не имеет значения для dhcp-сервера, главное - к нему прилетел запрос.

GIT избыточен для этих целей, он больше подходит, когда файлы правят много людей. В случае конфигов админ обычно один и правит их только он. Для конфигов я предпочитаю старую RCS. Она примитивнее и, как следствие, проще современных систем контроля версий, применяемых при разработке софта.

заводить десяток интерфейсов

поверьте, завести еще один подинтерфейс на сервере значительно проще и безопаснее, чем отлаживать какую-нибудь хитрую сетевую заморочку. Кроме того, эти подинтерфейсы для каждого VLANа все равно будут где-то созданы в другом месте, ну не на сервере, так на маршрутизаторе.

Сеть небольшого интернет-провайдера, конкретно я занимаюсь не самими сетями и знаний по архитектуре таких сетей не хватает

Так а инженеры эксплуатации вам не могут помочь? вы им уже надоели?)))

Возможно нужно сделать одну подсеть и на неё маршрутизировать подсети в которых находятся интерфейсы управляемого оборудования?

И что же вам мешает сейчас это сделать? Вы не можете выбрать IP-адресацию и настроить статическую маршрутизацию? В любом случае на сервере не проблематично оставить хоть 1k подинтерфейсов, а вот с компов сотрудников все вланы лучше убрать, выделить им сеть и VLAN "для сотрудников" и на каком-нибудь маршрутизаторе настроить маршрутизацию. Я бы сделал это на каком-нибудь L3-коммутаторе.

Ну обычно договариваются с одним админом, который делал разовую задачу, ему в аську или скайп скидывают что поделать если надо. Потом в конце месяца админ говорит, на сколько он наработал, что делал.

я думаю, начать нужно с того, что выписать список типовых проблемных случаев с Linux машинами, встречающимися в практике, сгруппировать их по темам - сетевые, отсутствие софта, просмотр загрузки...

После этого показать/продемонстрировать способы их решения, предварительно рассказав, как запустить консоль (различные виды терминалов, в том числе виртуальные). Например, проблемы с сетью можно решить так: посмотреть ifconfig, ip addr|link|route, route, dig, pppoe. Проверить запущен софт или нет: ps, netstat, top.

Затем можно показать отличия обычных знакомых сетевикам утилит (traceroute, ping) от win-систем. Рассказать о том, что все конфиги здесь в разных файлах.

Ну и под финиш показать, как получать помощь по системе: manы, логи.

Технической поддержке не надо знать, что существуют пользователи, файлы и папки. В целом это же похоже на win-системы.

UPD: я учил сетевиков уже линухам, только не ТП, а эксплуатационные подразделения

Вот прямо ни разу таких или похожих вопросов не было.