zvl

может быть имелись ввиду сети хостингпровайдеров в ЦОДах?
у крупных хостеров типа aws, google, microsoft большое количество сетей
практически у каждого хостера размещаются виртуалки различных скрипт-кидди которые тебя будут обязательно сканировать
грепай логи своего сервера, смотри подсеть провайдера через whois и если это не твоя целевая аудитория - блокируй через acl или iptables

bind9 ограничен правилами apparmor прописанными в /etc/apparmor.d/usr.sbin.named
файл правил идет в стандартной поставке, если ставили через apt
путь для файлов логов по умолчанию в конфиге apparmor - /var/log/named

Cерты пользователям можно включать непосредственно в конфигурацию, называется это inline certificates
1 Отозвать серт можно тем же easy-rsa которым он генерился
2 Обновится файл .crl со списком отзыва
3 Делаем reload для openvpn чтобы сервер перечитал изменения в файлах конфигурации

Не стоит для таких задач использовать публичные VPN сервисы, адреса которых становятся быстро известны.
Направление мыслей правильное, нужны VDS/VPS серверы вне РФ.
Есть провайдеры предоставляющие подобные сервисы с оплатой в рублях или с пополнением счета в рублях и автоматической конвертацией в валюту страны размещения хостинга.

Что касается классического L3 VPN, типа Wireguard/OpenVPN/gre+ipsec/Anyconnect/etc, в текущей ситуации не практично так как данные протоколы легко детектируются всеми любимым РКН и в любой момент времени могут быть заблокированы на уровне протокола. Стоит рассмотреть варианты L7 VPN (proxy) там маршрутизация может настраиваться на уровне доменов. Решение более устойчивое к блокировкам, но приложения требуют дополнительной настройки так как не весь трафик будет перенаправлен в туннель VPN интерфейса. Мультипротокольный xray позволяет использовать несколько протоколов Vless/VMESS/Trojan/Shadowsocks с транспортами вида TLS/XTLS/Websocket/GRPC/HTTP2

https://www.nic.ru/whois/?searchWord=info7.net.ru
state: REGISTERED, NOT DELEGATED
делегирование приостановлено регистратором, выясняйте причину
NS сервера CF указанные в базе WHOIS отдают правильные записи
nslookup.exe -type=ns info7.net.ru. elsa.ns.cloudflare.com
nslookup.exe -type=ns info7.net.ru. theo.ns.cloudflare.com

Не думал что доживу до вопросов ссылающиеся на видеогайды по настройке.
Печально :(

Возможно в домене есть политика для Chrome Enterprise и соответствующие шаблоны для управления Chrome.
Либо идет замена файла конфигурации Chrome.
При любом варианте смотреть групповые политики.

PS Так как контроллер достаточно старый, вероятней всего будет политика с запуском скрипта. Надо будет каждый скрипт разбирать в отдельности.

Для построения туннеля можно использовать Cloak, конфиги гораздо проще xray:

root@test:~# cat /etc/cloak/cloak-server.json
{
  "ProxyBook": {
    "wireguard": [
      "udp",
      "127.0.0.1:12345"
    ]
  },
  "BindAddr": [
    ":443"
  ],
  "BypassUID": [
    "Lkpevo0X6lV5bn33Rl1QCQ=="
  ],
  "RedirAddr": "mail.google.com",
  "PrivateKey": "+EvmB2L2vKaLsh/ynQgJpyEzQ216Ec2c8svs7au+Y10="
}

root@test:~# cat /etc/cloak/cloak-client-wireguard.json
{
  "Transport": "direct",
  "ProxyMethod": "wireguard",
  "EncryptionMethod": "plain",
  "UID": "Lkpevo0X6lV5bn33Rl1QCQ==",
  "PublicKey": "+GTHXOFTYJhRM4+xv9q+ZjSykSIMOLffIs8qJN/4V2Y=",
  "ServerName": "mail.google.com",
  "NumConn": 4,
  "BrowserSig": "chrome",
  "StreamTimeout": 300
}

На сервере, на внешнем интерфейсе, закрываем подключения к порту UDP:12345 средствами iptables или другими сетевыми фильтрами.
На клиенте запускаем:

cloak-client.exe -u -c C:\Windows\System32\cloak-client-wireguard.json -i 127.0.0.1 -l 12345 -s example.com -p 443

На клиенте WG настраиваем подключение на адрес прослушиваемый нашим Cloak-Client: 127.0.0.1:12345
То есть при данной схеме UDP трафик WG упаковывается в туннель TCP предоставляемый средствами cloak.
Если сработает блокировка, можно включить шифрование в конфиге cloak-client:

root@test:~# cat /etc/cloak/cloak-client-wireguard.json
{
  "Transport": "direct",
  "ProxyMethod": "wireguard",
  "EncryptionMethod": "aes-256-gcm",
  "UID": "Lkpevo0X6lV5bn33Rl1QCQ==",
  "PublicKey": "+GTHXOFTYJhRM4+xv9q+ZjSykSIMOLffIs8qJN/4V2Y=",
  "ServerName": "mail.google.com",
  "NumConn": 4,
  "BrowserSig": "chrome",
  "StreamTimeout": 300
}

Можно попробовать изменить TCP Congestion
https://habr.com/ru/articles/168407/
Посмотреть текущие параметры можно командой:

Get-NetTCPSetting | Select-Object SettingName,CongestionProvider

Для винды параметры по умолчанию:

SettingName      CongestionProvider
-----------      ------------------
Automatic
InternetCustom   CUBIC
DatacenterCustom CUBIC
Compat           NewReno
Datacenter       CUBIC
Internet         CUBIC

Например в рекомендациях по настройке shadowsocks, пишут:

# for high-latency network
net.ipv4.tcp_congestion_control = hybla

https://github.com/shadowsocks/shadowsocks/wiki/Op...

Хоть и не предмет вопроса, но рабочий вариант которым пользуюсь сам https://teletype.in/@yachmenev/shadowsocks-cloak

На маршрутере за которым установлен VPN сервер
Routing - OSPF - Instances
Redistribute Static Routes
из ABR роутер переходит в разряд ASBR

Правильно понимаю что задача в том чтобы клиенты подключенные к 340 могли получить доступ ко всем сетям за 340 и ко всем сетям которые туннелируются через 130 клиентов?

Почитать про автоматическое развертывание Windows можно на сайте MS в разделе Windows Deployment Services - https://docs.microsoft.com/ru-ru/windows/deploymen...

Настройки активации на корпоративном KMS сервере можно посмотреть через slmgr /dlv или slmgr /dli
Явно указать домен для поиска SRV записей можно командой slmgr /skms-domain contoso.com
Указать конкретный корпоративный сервер активации: slmgr /skms kms.contoso.com или slmgr /skms 10.0.0.1
Очистить настройки slmgr /ckms-domain или slmgr /ckms если были заданы домен или хост активации соответственно.
Если нет явно заданных доменов для поиска SRV записей или KMS серверов возможно что домен указан на интерфейсе сетевой карты (в свойствах сетевого интерфейса указан доменный суффикс) либо в свойствах системы Дополнительные параметры системы - Имя компьютера - Кнопка Изменить - Кнопка Дополнительно - Поле Основной DNS-суффикс этого компьютера
Третий вариант задания сервера активации - параметр Option 15 (DNS Domain Name) в настройках DHCP сервера.
Могу предположить что комп настроили в рабочей сети и он автоматически активировался на корпоративном сервере, но через 180 дней необходима повторная активация и доступа к корпоративной сети на текущий момент нет.

Нечего ответить человеку которому лень прочитать официальную документацию на русском языке - https://nginx.org/ru/docs/beginners_guide.html

Если надо перекинуть всех пользователей в новый домен можно использовать ADMT
https://docs.microsoft.com/ru-ru/troubleshoot/wind...
Поднимается рядом еще один домен, настраиваются доверительные отношения между старым и новым доменом и постепенно пользователи и компьютеры перемещаются на новый домен. Есть некоторые нюансы в именовании доменов, ну и еще некоторые. С вопросом про сайт не совсем понятно что имеется ввиду и к работе домена он особого отношения не имеет если авторизация на сайте не использует доменные сервисы

ssh туннелирование не вариант?

Недавно была похожая задача.
Коммутатор с PoE - https://shop.nag.ru/catalog/00001.kommutatory/4021...
Контроллер для точек доступа - https://shop.nag.ru/catalog/33702.wi-fi-marshrutiz...
Сами точки доступа - https://shop.nag.ru/catalog/33702.wi-fi-marshrutiz...

Если есть Ubiquity, контроллер можно развернуть на виртуалке если сеть сервер виртуализации.

Лучше сразу sftp на базе ssh, проще и безопасней. Если надо анонимный доступ к файлам для скачивания Apache/Nginx