Звучит вполне реально, но сначала нужно проверить прошивку на этом роутере. Старые запасы часто приходят с уязвимыми настройками по умолчанию, так что перепрошить его на OpenWrt или что-то подобное, легкое, обязательно. Потом настроим полноценную mesh-VPN и сквозное шифрование на всех соединениях. Для компьютеров проведем полную проверку, уберем все лишнее и усилим защиту операционной системы. Скажи, какие модели у тебя, чтобы мы могли спланировать конфигурацию.

Послушай, R7000 – неплохая база, но стоковая прошивка очень закрытая. Сначала скачай последнюю стабильную версию OpenWrt для этой модели – сборки 18.06 или 19.07 ещё поддерживают её, но понадобится 64-битный образ. Потом отключи все лишние сервисы, поставь надёжный пароль в стиле WPA3 на локальную сеть и настрои роутер как чистый VPN-шлюз с OpenVPN или WireGuard. А для XPS 15s – установи минималистичный Linux, убери загрузчик, чтобы не было возможности подсунуть бут-кит, и заблокируй загрузку с USB в BIOS. Дальше поставь легковесный файрвол, типа nftables, включи шифрование всего диска с помощью LUKS, и пусть NUC работает выделенным сервером для DHCP/DNS с DNS-over-TLS. Держи всё это вне сети для проверки прошивок, используй загрузочную флешку для тестирования перед развёртыванием. Получится чистая, ориентированная на приватность система.

Дебиан минималка даст тебе чистую основу с менеджером пакетов, который ты сможешь хорошо контролировать, но если хочется ощущения rolling release, можешь попробовать Арч – только не забудь отключить хуки initramfs, которые активируют сеть при загрузке. Для NUC установи загрузку только с внутреннего диска, поставь на BIOS сложный пароль и храни USB для восстановления в запертом месте – подключай его только тогда, когда обновляешь систему. Как только BIOS будет надёжно защищён, можно переходить к укреплению ОС. Будем действовать последовательно.