Вениамин Коноплев

Для "долгой и счастливой" жизни Вам нужно минимум два логических сервера: один AD+DHCP и один 1C+Файловый. В принципе их можно запустить как виртуалки на одном железе. Можно, конечно "все в одном", но мелко- мягкие настоятельно не рекомендуют объединять AD с другими функциями.

Сеть делайте как проще: одна подсеть и выход в мир через NAT. Для Вас сейчас важно, чтобы это все просто работало. Потом, когда справитесь с первоочередными задачами и наберетесь опыта, сможете заняться сегментированием если захотите улучшить безопасность.

Тупит скорей всего от того, что перегревается.

Если хотите максимальную гибкость, то это микротик или поддержка openvrt. Но микротик это вендорлок, поэтому я за openvrt.

Любое свободное облачное хранилище на Ваш вкус:
Seafile, OwnCloud, NextCloud.

Все остальное скорее всего будет сложнее и хуже (VPN+CIFS/NFS) либо данные будут не совсем у вас (Яндекс Диск, Google Drove и т.д.)

В вашем случае самое оптимальное -- настроить адресную трансляцию внутрь сети средствами iptables или nftables в зависимости от того, что у вас там стоит на сервере.
Если трудновато -- можно поискать и поставить на сервере программу типа TCP Proxy.

SSH туннель конечно самое простое настройках, но постоянно поддерживать и восстанавливать SSH соединение -- так себе подход.

Не совсем понимаю, зачем луны с ext4 подключать к Винде, но если автор по другому не может и нужен низкоуровневый бэкап, то Acronis -- ваше фсё.

Меня смущает вот эта запись:
MASQUERADE ALL * enp3s0 0.0.0.0/0 0.0.0.0/0

Все исходящие пакеты транслируются в адрес исходящего интерфейса.

Вам надо переписать правила iptables, чтобы пакеты идущие из сети 192.168.2.0 в сеть 192.168.0.0 не транслировались.