Вениамин Коноплев

Посмотрите в сторону IDECO.
У них есть бесплатная версия на 25 пользователей. Можете поставить её на платформу X86 и изучить основательно.
Если нужен ФСТЭК то сертифицированные коробочные решения у них тоже имеются.

Насколько я понимаю, здесь самое тяжелое -- это корректно перенести аренду адресов в динамическом пуле, если таковой у вас используется.

Можете рассмотреть такую последовательность действий:

1. На сервере AD DHCP создаете деактивированную область с общими настройками.
2. Статическую конфигурацию DHCP-хостов на Микротике экспортируете в текстовый файл.
3. Если в сети используется динамический пул, то список арендованных кортеджей HOST-IP-MAC также экспортируете в текстовый файл. Предварительно надо время аренды выставить на несколько дней, чтобы для всех "живых" компьютеров с динамическими адресами на Микротике были созданы записи аренды.
4. Программой на любом скриптовом языке (perl, python, ...) формируете набор команд для добавления статических DHCP записей на языке PowerShell (включая и записи из списка динамической аренды).
5. Загружаете все это хозяйство в AD DHCP.
6. Визуально проверяете что получилось и активируете область AD DHCP.
7. Уменьшаете время аренды на Микротике до минимально разумного.
8. Выставляете на Микротике DHCP Delay Threshold, чтобы он отвечал после AD DHCP.
9. Дожидаетесь времени, когда все адреса будут выданы сервером AD DHCP.
10. Выключаете DHCP на Микротике.
11. По желанию можете удалить статические записи, созданные на основе списка динамической аренды.
...
12. Идете к начальнику за премией ну или за люлями в зависимости от результата)))

Если адрес действительно СЕРЫЙ, то есть из классов приватных IP, то DDNS не поможет.

Если с домашнего компьютера действительно есть возможность поднять туннель L2TP на рабочий компьютер, как написано, то через этот туннель домашний компьютер с рабочего тоже должен быть доступен по выданному ему в туннеле IP адресу. Надо только разрешить обратные соединения в файерволе домашнего компьютера.

Если у вас в организации L2TP терминируется на на вашем компьютере, а на VPN-сервере организации, что более вероятно, то можно попробовать следующую схему. Поднимаете туннель L2TP между своим домашним роутером и VPN-сервером организации. Получив таким образом доступ к рабочему компьютеру поднимаете туннель между компьютерами. Используете второй туннель для для обратных соединений работа-дом.

Если есть белый сервер и вы согласны гонять через него трафик, то самое простое поднять на него два туннеля WireGuard и использовать как маршрутизатор между двумя компами.

Ну или tcpproxy.

Конфигурация наверняка запуститься. Вопросы к поддержке периферийного оборудования. Запросите в поддержке 1С рекомендуемую ОС и список совместимости по оборудованию.

Бесплатных корпоративных решений не существует. Можно найти бесплатный софт и присоседить его на уже готовый сервер, но сопровождение все равно выйдет дороже, чем 2тр в месяц. А всю жизнь шариться по площадкам, которые временно предоставляют бесплатную корпоративную замануху -- так себе заиея.

Единственный способ удалённо "подключиться" к SQLite -- подключить сетевую папку в которой лежит файл базы данных. Напрямую подключиться по сети как в MS SQL Server и др. -- не получится.

Посмотрите socksify. Он как раз для этого.

Для "долгой и счастливой" жизни Вам нужно минимум два логических сервера: один AD+DHCP и один 1C+Файловый. В принципе их можно запустить как виртуалки на одном железе. Можно, конечно "все в одном", но мелко- мягкие настоятельно не рекомендуют объединять AD с другими функциями.

Сеть делайте как проще: одна подсеть и выход в мир через NAT. Для Вас сейчас важно, чтобы это все просто работало. Потом, когда справитесь с первоочередными задачами и наберетесь опыта, сможете заняться сегментированием если захотите улучшить безопасность.

Тупит скорей всего от того, что перегревается.

Если хотите максимальную гибкость, то это микротик или поддержка openvrt. Но микротик это вендорлок, поэтому я за openvrt.

Любое свободное облачное хранилище на Ваш вкус:
Seafile, OwnCloud, NextCloud.

Все остальное скорее всего будет сложнее и хуже (VPN+CIFS/NFS) либо данные будут не совсем у вас (Яндекс Диск, Google Drove и т.д.)

В вашем случае самое оптимальное -- настроить адресную трансляцию внутрь сети средствами iptables или nftables в зависимости от того, что у вас там стоит на сервере.
Если трудновато -- можно поискать и поставить на сервере программу типа TCP Proxy.

SSH туннель конечно самое простое настройках, но постоянно поддерживать и восстанавливать SSH соединение -- так себе подход.

Не совсем понимаю, зачем луны с ext4 подключать к Винде, но если автор по другому не может и нужен низкоуровневый бэкап, то Acronis -- ваше фсё.

Меня смущает вот эта запись:
MASQUERADE ALL * enp3s0 0.0.0.0/0 0.0.0.0/0

Все исходящие пакеты транслируются в адрес исходящего интерфейса.

Вам надо переписать правила iptables, чтобы пакеты идущие из сети 192.168.2.0 в сеть 192.168.0.0 не транслировались.