Владимир Кивва

Было бы неплохо посмотреть на обратную трассировку. Есть возможность ее сделать со стороны Hetzner?

у хетцнера проблемы с роутерами со вчерашнего дня. Возможно это причина вашей проблемы
https://www.hetzner-status.de/en.html

У вас в маршруте встречается 100... Это "серая" часть РТ. Появилась в прошлом году для "старых" сегментов. Нужно переходить на "новые" технологии — вернут нормальную магистраль.

Терминальники, файлопомойка, 1С, SQL, VPN

Можно сделать проще - саму систему расположить на не очень быстром диске.
А вот критичные для отзывчивости системы профили пользователей, вынести на быстрый диск.

Еще стоит присмотреться к новым SSD от Intel - Optane в связке с их фирменной утилитой кэширования.

1) Нельзя. VMware умеет один диск назначить только одной ВМ. Golden Image - это всего лишь шаблон ВМ с установленными обновлениями, ПО и последующей очисткой временных файлов, из которого клонируются ВМ для нормальной работы (VDI как вариант, там ВМ временная и удаляется после завершения работы с ней пользователя). Возможно, удастся сэкономить место на хранилище, если включить на нем дедупликацию для дисков с операционной системой, но это не гарантировано, плюс будут проблемы по производительности в случае обновления ВМ без дополнительного диска avhd (т.е. без снапшота) - в этом случае постоянно будут кластеры, которые будут выходить из дедуплицированного состояния, и место на хранилище начнет заполняться, на это в общем случае хранилище будет реагировать медленнее, чем в ситуации без дедупликации.
2) Thin provision диски будут расти как обычно, thick provision не потеряют в производительности, но они сразу занимают максимальный размер, ещё при создании.
3) Неприменимо. Если разговор о Golden Image, он обновляется как обычная отдельная ВМ с последующим экспортом обратно в шаблон.
4) Неприменимо - придется сравнивать диски от разных ВМ, а у них первичный образ диска будет не один. То есть будет доступна только конфигурация с 10 отдельными дисками.
5) Туда же.

Данные по VMware ESXi 6.0 и моему опыту работы с ним. Если 6.5 что-то изменил, буду рад узнать.

Бесплатная лицензия - она потому и бесплатная, что в ней нафиг отчекрыжены все фичи, которые могут потребоваться при количестве хостов больше одного. Стандартная миграция возможна только через vCenter - а хост с бесплатной лицензией в vCenter не запнуть - все продумано! :D
Только скриптами, либо какое-то сторонее решение.

Можете попробовать www.vmgu.ru/news/extrashpere-free-vmotion-for-free-esxi . Сам не пробовал но может вам поможет, это если вам именно миграция нужна. И да, если ESXi бесплатные то Veeam не помощник и придется бекапиться скриптами
Чуть что похожий вопрос (как мне кажется) Чем перетащить ВМ с esxi на другой хост?

А перед микротиком ONT стоит или РТ витую пару уже завел?

add action=drop chain=input  in-interface=pppoe-RTK

запрещает только входящий трафик для микротика, nat работает раньше, поэтому трафик клиентов уже в forward.
Если микротик работает как кеширующий днс, из за этого правила он не сможет получить ответ от днс форварда, его надо добавить после

add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked

Интерфейс pppoe правильно помещать в wan, eth1 в принципе не нужный, если ONT у вас, на этот интерфейс можно повесить ip для доступа к ONT.
У меня тоже РТ, в квартире ONT. Вместо микротика x86 комп с 2 сетевухами. в 1 подключен ONT и на ней ip внутренней сети ONT, правил никаких для этого интерфейса нет.
2 сетевуха в бридже с wlan'ами. Коннект стабильный.

Может у вас с кабелем чего, если на 10М заводится?

Вообще диагностику подобного всегда надо начинать с базового:
1) Включить кабель в комп и настроить всё по инструкции с сайта. Если работает, то переходим дальше к роутеру, если нет, то вызываем спецов провайдера.
2) В случае стабильной работы на компе пробуем поделить процесс настройки на этапы:
а) Сбрасываем роутер в дефолт, применяем настройки по умолчанию.
б) Вставляем кабель провайдера, смотрим что линк стабильный и физических прерываний нет. В случае рт, отключить dhcp клиент обязательно
в) Настраиваем pppo-e клиент указываете физический порт, логин и пароль. Если всё верно то линк должен подняться. Галочки дефолтного маршрута и днс временно выключить. Если линк стабильный, включаем галочки дефолтного маршрута и днс, смотрим стабильность.

г) Проверяем работу инета на микротике не подключая не одного абонента, если всё норм, то подключаем локалку. Если локалка настроена корректно, то всё должно работать.

Если на каком-то этапе стабильности нет, то назовите этап. Честно я смог осилить всё ваше повествование, оно слишком эмоциональное.

У самого микротик+рт и всё работает норм, самый стабильный из трех подключенных инетов.

Вы "слышите звон, да не знаете, где он". С чего вы вообще решили, что там "шторм/петля"? На основании каких критериев?

1. Потому что цепочки INPUT и OUTPUT относятся только к самому устройству. Т. е. туда попадает трафик, источником или назначением которого является именно ваш роутер. Для транзитного трафика, который должен устройством маршрутизироваться, применяется цепочка FORWARD.

2. Если интернет не работает вообще, то нет смысла спрашивать, почему не работает DNS или HTTP или любой другой протокол. У вас транспортная сеть не работает, поэтому никакие сервисы тоже не будут работать.

4. PPPoE интерфейс не просто идеологически настраивать под маскарадинг -- это вообще единственный способ получить интернет на клиентах :-) Потому что физический интерфейс ether1 будет использоваться только для PPP-трафика. Весь остальной трафик (т. н. "интернет") будет заворачиваться в интерфейс PPPoE.

Судя по тому, что на 10М линк работает -- имеет место проблема с кабелем. Либо плохо обжат, либо плохог воткнут на какой-то из сторон (коммутатор провайдера или ваш микротик), либо повреждён где-то по дороге от вас до коммутатора.

Коллеги правильно говорят -- настройте сначала всё на компе. Если на компе будет ОК, значит, провайдер и его сеть тут ни при чём.

Добавлю, что когда подключите комп, следите, на какой скорости работает сетевуха. Но проблема 10М/100М скорее всего в кабеле

Смотрите логи, скорее всего сервер отправляет клиенту адрес но он его по какой-то причине не получает, клиент запрашивает адрес снова и сервер опять выделяет ему тот-же адрес сбрасывая lease time

А на pfSense скорость в норме? Если нет, то нужно отключить offload.
To disable hardware checksum offload, navigate under System > Advanced and select Networking tab. Under Networking Interfaces section check the Disable hardware checksum offload and click save. Reboot will be required after this step.

Добрый день!
По канбану лучше всего прочитать книгу "Канбан" Дэвида Андерсена
Можно еще почитать вот эту статью

Хороший роутер вроде микротика способен реализовать такое.
То же самое можно сделать на альтернативных прошивках, и даже в некоторых случаях на штатных прошивках кинетика.

Только вот заворачивать весь трафик не рекомендую.
На многие ресурсы с иностранного IP вы просто не попадете - будет блокировка по адресу.
В общем избавитесь от одной блокировки, попадете на другую. Опять же у зарубежных провайдеров еще и свои блокировки есть.
Скорость будет гарантированно меньше - иногда не сильно, иногда очень сильно.
Пинг будет ужасный.
Когда ресурс заблокировать - ну тут делать нечего, это позволит хоть как-то с ним работать, но вот заворачивать весь трафик это не очень выгодно.

Трафик гораздо лучше заворачивать избирательно - столкнулись с блокировкой, завернули трафик на VPN.
Причем в большинстве случаев даже прокси хватает - берете какой нибудь foxyproxy и для конкретного ресурса указываете использование нужного прокси.