AlexVWill

Очень сильно зависит от того, как сервера, на которых включено обнаружение региона, были настроены. В большинстве случаев они настроены по GeoIP и вообще не понимают какой там домен на этот IP привязан и с DNS не работают. Но если как то проверяют и доменные записи, тогда вероятность отнесения к стране по доменному имени не нулевая.

Начал было писать вариант решения, но потом понял что много писанины получится, а варианты могут быть разные, и до меня уже писали. На Хабре лежит неплохая статья по этой теме, можно попробовать реализовать, особенно по варианту 4, только когда оба клиента подключаются к ssh, или вообще сделать ssh vpn туннель, короче, надо пробовать...

Короче, я его таки победил. Почти...
Оказалось, что по умолчанию в случае с соединением через NetworkManager соединение шло через профиль Default, а SSTP был настроен на профиле VPN. Отчего так я разбираться не стал, и просто удалил ненужный профиль.
Еще была проблема в обрыве РРР соединения, тоже нигде не написано что там надо сделать для его поддержания.

2024-01-22 13:14:08.789 SSTP PPP Session [xx-xx-xx-xx:55758]: A PPP protocol error occurred, or the PPP session has been disconnected.

Поставил режим посылки РРР эхо пакетов.

Так заработало.
Осталось только понять, что надо сделать на Android клиентах настроить. SSTP Max клиент что-то той же фигней страдает с обрывом РРР, пока не понял как его настроить.
UPD: Android тоже работает нормально, с OpenSSTPClient, правда VerifyHostname при этом не работает, пришлось отключить. Но соединение работает нормально, и через сотового провайдера, и через WiFi.

Нашел логи только подключений, а не посещение сайтов и тд :(

"посещения сайтов и т.д." не будет, потому что VPS не оперирует понятием доменных имен, а все пакеты идут через IP адреса...
Чтобы отследить посещения, надо а) настроить маршрутизацию DNS запросов через VPS, и b) поднять на VPS свой DNS сервер, например IPhole, Bind9, AdGuard Home, и включить логирование на нем. Тогда можно увидать DNS запросы в виде URL, которые были адресованы к web сайтам через браузеры.

Сервера на хостингах в РФ могут не прокатить, т.к. их пул IP известен. Самое надёжное средство это поднять VPN сервер на домашнем микротике в РФ и выходить в рабочую сеть через него. Для этого надо правда получить статический IP у домашнего провайдера.

IP VPN сервера или его URL

Некоторые хостинг-провайдеры, на которых находится сервер VPN могут быть в бан-листе у других сервисов, например у того же OpenAI. Или их диапазон IP. Можно попробовать поменять IP сервера, если не поможет, то только смена хоста. DNS тут ни причем.

А мне необходимо, чтобы по внутренним VPNовским IP я мог достучаться до другого компьютера в виртуальной сети.

Обычно для этого достаточно в настройках VPN указать что возможна маршрутизация пакетов внутри сети между клиентами.
Поскольку ты не указал, что за VPN ты используешь, то читай мануал настройки к своему серверу. В OpenVPN за эту настройку отвечает опция client-to-client, в IPSec оно по умолчанию доступно.
А общем и целом все сводится к маршрутизации пакетов внутри своей подсети 10.10.0.0 к примеру, которая создается при настройки VPN сервера и к которой клиенты подключаются. Iptables тут нипричем, т.к. внутри этой подсети iptables не работает, если ты конечно не дописал что-то туда сам.
Иными словами, если у одного клиента внутренний VPN IP - 10.10.0.2, а у другого 10.10.0.3, они могут видеть друг-дружку по этим адресам внутри VPN тоннеля.

Cамый простой вариант который в голову приходит, это поставить UFW и закрыть все исходящие порты на все соединения, кроме VPN сервера...
Вариант посложнее - это настроить маршрутизацию, т.е. убрать default шлюз на роутер

default via 192.168.1.1 dev enp3s0 proto dhcp metric 100

к примеру (смотреть как у тебя там настроено), и оставить только VPN шлюз

default via 10.100.0.5 dev tun0 proto static metric 50

на втором кинетике надо настроить статическую маршрутизацию до первого, т.е. указать интерфейс VPN, который поднят на втором, шлюз, через который идут пакеты и адрес узла назначения (т.е. первого)...
Вот тут более подробно написано как это работает.

Если у сервера pi-hole есть белый ip, и открыт 53 порт, то просто можно его указать как DNS на любом количестве серверов и клиентов

Бесплатных хороших нет, за сервис надо платить, за хороший сервис надо хорошо платить...
Более- менее вот это: https://play.google.com/store/apps/details?id=org....

В статус-баре, справа-вверху, ничего не отображается

Потому что GUI и консоль - это всетаки разные вещи...
Выхода тут 2 (оба на скриншоте):
1) Ставить клиента и запускать его не через консоль, а через Network Manager'а, тогда вверху в статусбаре иконка сетевого подключения поменяется как показано у меня (не обязательно такая же точно, но будет другая).
2) Поставить какую то приложуху, которая будет следить за тем, не поменялся ли сетевой интерфейс. У меня на скриншоте это Conky на рабочем столе, показывает IP VPN'a, если он появился - значит есть подключение.

Ну вот еще, придумали проблему на ровном месте, какие то роутеры, USB-LAN и всякое такое...
Втыкаем ноут в ethernet и делаем его хотспотом... Можно дешевый USB свисток купить и проделать ту же операцию с каким нибудь неттопом, если там нет WiFi модуля, или он tethering не поддерживает.

VPN запускать на клиентских машинах.

какова разница в плане безопасности в этих двух способах

никакой, все дело в настройках авторизации и способа шифрования, и тот и другой можно по разному настроить

но аудитор настаивает на его небезопасности

он абсолютно не понимает об чем говорит, пусть приводит аргументы, а не просто трындит попусту

у меня серый адрес без возможности получить белый для доступа к серверу

Что за провайдер, если не секрет, который не дает такие базовые вещи? Я бы его послал куда подальше.

моем пк нужно завернуть трафик в VPN, но при этом оставить все остальное без VPN

"все остальное" это что именно? Если ты клиент ставишь на свой ПК, то и VPN будет на твоем. а не на Машином или Петином.
Объясни подробно структуру сети с VPN сервером, а то все телепаты на фронте...

Выход в интернет происходит через 4G модем

Даже если я куплю у провайдера белый IP, то роутер будет получать приватный адрес от 4G-модема

Ну и что? Зачем тебе в этом случае всякие костыли вроде DDNS, если у тебя будет IP шник, просто если ты покупаешь белый IP, то он обычно и статический сразу. Т.е. у тебя будет постоянный IP, по которому ты можешь обращаться к своей сети.
Вопрос маршрутизации пакетов от модема к роутеру от IP не зависят. Обычно на роутере поднимается просто еще один интерфейс для USB модема, и уже в настройках роутера прописывается как пакеты направляются внутри по какому интерфейсу. Модем никаких приватных адресов не выделяет. Если только можем сам не работает как роутер.

Не очень разбираюсь в Винде и Wire guard, но по моему винда на уровне системы не поддерживает этот протокол. А IPsec ike2 поддерживает, поэтому ты и смог его добавить в меню системы, и система с ним работает. Поэтому твой вариант возможно только с клиентом WireGuard заработает.

Копать в сторону какой то собственной системы, работающей как собственный DNS сервер. У меня например вот это: https://adguard.com/en/adguard-home/overview.html
Работает на Linux сервере, режет почти что всю рекламу. По статистике примерно 10% DNS запросов это всякий мусор:

После установки на локальный сервер и настройки, в своем VPN сервере настрой адрес DNS сервера на свой, и будет тебе счастье.
Как вариант использовать в этой настройке их публичные DNS: https://adguard-dns.io/ru/public-dns.html
Работает, но без возможности индивидуальной настройки.