Arthur_N

Вам нужен нормальный промышленный роутер, никакой киннетик не вывезет столько пользователей, если хотите экономить то только mikrotik вам поможет, минимум CCR 2004, по коммутаторам, все что может в гигабит (не Длинк, вообще любой), если планируете разделение вип зоны от остального по влан, то управляемые коммутаторы можно не брать, а для разных влан использовать разные порты на роутере, (роутер 1 порт -- общая зона, роутер - 2 порт вип зона, роутер х - порт интернет

При такой реализации в цепочку RTT, с каждой точкой будет все хуже, стоит рассмотреть возможность кабелем включить точки доступа

На самом деле чем ниже уровнем сделаете обход блокировки тем легче будет настроить и тем больше будет объем конфигурации устройств.
Например если пробовать обойти на уровне маршрутизации (взять все подсети Гугла (около 7к) и отправить в тунель) то обычный киннетик не вывезет по таблице маршрутизации
Немного выше уровнем, классификация по доменам или типу трафика, требует больше вычислительной мощности
Я вот к вопросу подошёл со стороны L3, просто вся запрещена по подсетям в тунель идёт, но тут потребуется много оперативной памяти, у меня микротик с 1г озу, вывозит более чем, сейчас где то 12к маршрутов (весь гугл, фб/инста, и по мелочи). Тут главное правильно построить маршруты и не забыть про нат в нужном месте в нужный IP, все что в наружу через иностранный IP и отправить в правильный порт, все что в рф -- в сторону провайдера тоже с NAT с нужным адресом.

Все провайдеры собирают информацию типа Netflow, это не совсем трафик, а метаданные о трафике (заголовки IP пакетов). В большинстве случаев это 5 параметров
Src IP, dst IP, arc port, dst port, protocol
На основании этого можно понять куда ходил конктный клиент по dst IP можно выяснить автономную систему, услоно AS-GOOGLE, провайдер знает что у тебя был запрос в гугл, знает что это 443 порт, и сколько трафика было передано, но не видит все что внутри зашифрованных протоколов, Https, VPN.
Не путать провайдера с системой DPI, оно может посмотреть внутрь зашифрованных протоколов, в случае SSL (Https) если версия не 1.3 то можно хитром способом на ходу даунгрейдить до SSL 1.0 и распознавать, это очень просто делается. До, некоторых протоколов авторизации ВПН (всякие pap,chap,mschap) есть уязвимости которые в том числе позволяют посмотреть внутрь (точнее во время устаноленя соединения втиснуться внутрь сессии)...
А так все все равно на ваш трафик, пока вы ничего не натворили)

Есть такая утилита на Линукс, bgpq3
Можно через него получить все (около 7000) префиксы Гугла. Утилита поддерживает регулярные выражения, можно сразу вывечти в нужном виде. Пожно по номеру автономный системы Гугла запросить или по их as-set
Пример запроса
bgpq3 AS-GOOGLE

PS. Что то мне подсказывает что кинетик не переварит 7к маршрутов

Есть подозрение что вы не сохраняете конфигурацию, после настройки в системе найдите кнопку сохранения текущей конфигурации в постоянную память