AlexVWill

на любом девайсе возможно реализовать Always On VPN & Block connection without VPN. Иными словами: "нет ножек - нет и мультиков", т.е. инет не будет работать без соединения с VPN. На ведроиде это делается галочкой в настройках VPN, в Linux маршрутизацией, в Винде не знаю как, но в принципе думаю там аналогично маршрутизацию принудительно можно выставить.

Устанавливать StrongSwan из Google Play, настройки клиента по ссылке в конце статьи.

Использовать прокси или VPN (Tor к примеру) с сервером той страны, для которой доступна загрузка драйверов.

Очень сильно зависит от того, как сервера, на которых включено обнаружение региона, были настроены. В большинстве случаев они настроены по GeoIP и вообще не понимают какой там домен на этот IP привязан и с DNS не работают. Но если как то проверяют и доменные записи, тогда вероятность отнесения к стране по доменному имени не нулевая.

Начал было писать вариант решения, но потом понял что много писанины получится, а варианты могут быть разные, и до меня уже писали. На Хабре лежит неплохая статья по этой теме, можно попробовать реализовать, особенно по варианту 4, только когда оба клиента подключаются к ssh, или вообще сделать ssh vpn туннель, короче, надо пробовать...

Короче, я его таки победил. Почти...
Оказалось, что по умолчанию в случае с соединением через NetworkManager соединение шло через профиль Default, а SSTP был настроен на профиле VPN. Отчего так я разбираться не стал, и просто удалил ненужный профиль.
Еще была проблема в обрыве РРР соединения, тоже нигде не написано что там надо сделать для его поддержания.

2024-01-22 13:14:08.789 SSTP PPP Session [xx-xx-xx-xx:55758]: A PPP protocol error occurred, or the PPP session has been disconnected.

Поставил режим посылки РРР эхо пакетов.

Так заработало.
Осталось только понять, что надо сделать на Android клиентах настроить. SSTP Max клиент что-то той же фигней страдает с обрывом РРР, пока не понял как его настроить.
UPD: Android тоже работает нормально, с OpenSSTPClient, правда VerifyHostname при этом не работает, пришлось отключить. Но соединение работает нормально, и через сотового провайдера, и через WiFi.

Нашел логи только подключений, а не посещение сайтов и тд :(

"посещения сайтов и т.д." не будет, потому что VPS не оперирует понятием доменных имен, а все пакеты идут через IP адреса...
Чтобы отследить посещения, надо а) настроить маршрутизацию DNS запросов через VPS, и b) поднять на VPS свой DNS сервер, например IPhole, Bind9, AdGuard Home, и включить логирование на нем. Тогда можно увидать DNS запросы в виде URL, которые были адресованы к web сайтам через браузеры.

Сервера на хостингах в РФ могут не прокатить, т.к. их пул IP известен. Самое надёжное средство это поднять VPN сервер на домашнем микротике в РФ и выходить в рабочую сеть через него. Для этого надо правда получить статический IP у домашнего провайдера.

IP VPN сервера или его URL

Некоторые хостинг-провайдеры, на которых находится сервер VPN могут быть в бан-листе у других сервисов, например у того же OpenAI. Или их диапазон IP. Можно попробовать поменять IP сервера, если не поможет, то только смена хоста. DNS тут ни причем.

А мне необходимо, чтобы по внутренним VPNовским IP я мог достучаться до другого компьютера в виртуальной сети.

Обычно для этого достаточно в настройках VPN указать что возможна маршрутизация пакетов внутри сети между клиентами.
Поскольку ты не указал, что за VPN ты используешь, то читай мануал настройки к своему серверу. В OpenVPN за эту настройку отвечает опция client-to-client, в IPSec оно по умолчанию доступно.
А общем и целом все сводится к маршрутизации пакетов внутри своей подсети 10.10.0.0 к примеру, которая создается при настройки VPN сервера и к которой клиенты подключаются. Iptables тут нипричем, т.к. внутри этой подсети iptables не работает, если ты конечно не дописал что-то туда сам.
Иными словами, если у одного клиента внутренний VPN IP - 10.10.0.2, а у другого 10.10.0.3, они могут видеть друг-дружку по этим адресам внутри VPN тоннеля.

Cамый простой вариант который в голову приходит, это поставить UFW и закрыть все исходящие порты на все соединения, кроме VPN сервера...
Вариант посложнее - это настроить маршрутизацию, т.е. убрать default шлюз на роутер

default via 192.168.1.1 dev enp3s0 proto dhcp metric 100

к примеру (смотреть как у тебя там настроено), и оставить только VPN шлюз

default via 10.100.0.5 dev tun0 proto static metric 50

на втором кинетике надо настроить статическую маршрутизацию до первого, т.е. указать интерфейс VPN, который поднят на втором, шлюз, через который идут пакеты и адрес узла назначения (т.е. первого)...
Вот тут более подробно написано как это работает.

Если у сервера pi-hole есть белый ip, и открыт 53 порт, то просто можно его указать как DNS на любом количестве серверов и клиентов