CityCat4

Ты видимо пропустил момент, когда оповещалось, что множество VPN (в том числе и норд), которые не захотели сотрудничать с РКН (а накуа - ведь в этом и был их смысл) - просто были забанены.
Типичное решение этой проблемы - VPS в Забугории, к которому брошен обычный VPN (ovpn/ipsec/еще что-то), и с которого делаются нужные действия. Пять - шесть евро в месяц - и волосы будут гладкие и пушистые...
А на домашнем роутере потребуется настроить, чтобы нужный трафик ходил через забугорский VPN - то есть, чтобы коннект к норду был не с домашнего IP, а с забугорского. При этом DNS тоже нужно не забыть :)

Нихрена не понятно, как обычно, кроме того, что как обычно считается, что VPN внутри VPN даст больше анонимности :) без уточнения против кого :)

Микротик подключается к VPN серверу

Ну, подключается, да. Каким образом, по какому протоколу? У микротика их как минимум три - pptp, ovpn, ipsec (esp)

все оборудование в сети микротика (ethernet подключения) получают соответствующий IP адрес

Не коррелирует. У микротика есть свой dhcp-сервер, который раздает адреса вне зависимости от того, есть vpn или нет.

На компьютере включаем Windows VPN приложение

На каком компьютере, какое приложение, по какому протоколу?

У каждого свой "Совенок"
"Правильно" у каждого свое.

Например, мое "правильно" - это IPSec и сертификаты на микротике.

Зависит от задачи :)
Tor тут например совсем ни при чем - если нужно скрыть сетевой адрес - это не данные ноута, это просто сетевой адрес.
VPN после Tor поможет только в факте скрытия использования Tor
К скрытию железа компа Tor никакого отношения не имеет, возможность скрытия (точнее говоря, подмены) данных зависит от того, какие данные и каким образом будут получаться.

Я думаю,он просто DNS перехватывает. Нужно трафик DNS гнать через VPN.

но не конкретные страницы на этих доменах).

Откель такая уверенность? Вы не видели кода этого сервиса, Вы не можете сказать, как он работает. Следовательно, предполагается наиболее плохое - сервис ведет полный подробный лог

не более, чем домены, без конкретных страниц.

Еще раз - Вы не видели код этого "vpn", Вы не знаете, как он работает. Поэтому следует предполагать, что могут слить все.

Неужели мне одному интересна авторизация по паролю?)

Видимо, да. Авторизация по паролю имеет некоторые преимущества, конечно (если пароль не запомнен в компе, а запомнен в голове) - например, его украсть невозможно. Если же он запомнен на компе - в режиме авторизации по паролю нет никаких преимуществ.
В документации на strongswan есть все мыслимые и немыслимые примеры сочетаний - придется конечно попыхтеть, чтобы приспособить их к микротику, но может быть и получится. А может быть и нет - это зависит от того, что там было реализовано в поддержке IKEv2

Пользователь не должен вообще никак возиться со скачиванием и установкой сертификатов.

Разумеется. Это за него должен делать админ. Либо вручную, либо наваять скрипт на vbs. Безопасность - она всегда перпердикулярна удобству :)

Взять инструкцию, почитать и настроить. Я гляжу, там полноценный IPSec имеет место быть. Это есть гуд :) Хотя конечно поипаца придется, IPSec - вовсе не нубская тема :)

Можно ли задать адрес локальной сети в филиале 192.168.1.0?

Можно. Но не нужно. Единственная известная мне причина, когда сеть настоятельно пытаются растянуть на L2 - это наличие софта с артефактами, например поиска компьютера сугубо по Netbios-имени (которое не работает ни через что, а работает только в пределах L2-сети). Попытка упростить себе администрирование приведет к его фантастическому усложнению.

Обычная схема построения VPN - это центр, к которому подключаются удаленные узлы. Маршрутизацию осуществляет центр. У центра своя подсеть, у узлов своя - у каждого узла своя. dhcp раздается узлом (теоретически dhcp можно пробрасывать с помощью dhcp realy, но при этом заметно страдает надежность - упал туннель - в филиале пропала сеть). Локальный DNS раздается центром, хотя при приличной нагрузке на узле обычно на узел ставят подчиненный сервер, на котором подымают дубли сервисов - dns, ad и прочее - чтобы не бегали юзера за аутентификацией на каждый чих в центр.

Ну, во-первых, строка

net.ipv6.conf.all.disable_ipv6 =3D 1

это либо косяк вставки, либо чушь, ибо "3D" - это код символа "=", а во-вторых правка этого файла ничего не делает :) Это файл настроек для sysctl, он применяется либо при перезагрузке, либо вручную.
Если Вы вручную его не применяли (командой sysctl -p), то в системе ничего не изменилось :) просто уберите нафиг строки, чтобы они не прочитались при следующей загрузке (они скорее всего все равно не применятся из-за синтаксической ошибки)

Если в настройках VPN указано гонять весь трафик через него - да. Но Вы же не настолько едиот, да? В противном случае, в корпоративную сеть попадает только трафик для нее самой.

Первое - это для настройки профиля (закладка Profiles)
Второе - для предложения (закладка Proposals)
SA ... - это тайминги в секундах

С той стороны скорее всего циска, причем видимо не самая новая, раз md5 включили в proposal. Ну или какая-то еще другая не больно новая железка, похоже sha1 - ее максимум

Английским по белому - вторая сторона не отвечает. С какого, кстати уха, Вы ломитесь на порт 22? Обычно IKE слушает порт 500

О, Боже, опять школота, воображающая, будто кто-то будет ломать шифрование, а не его. Какова модель нарушителя? От кого хотите защититься?

Если мама/жена/сосед - любой vpn на своем vps в голландии например даст абсолютно бронебойную защиту с любым современным шифром.
Если работодатель (и на компе работодателя и в рабочее время) - вопрос обычно решается в местной СБ (а там, где ее нет - там всем на все как обычно).
Если государство - не будет там никто заморачиваться вскрытием шифрования - там есть другие способы и они работают очень эффективно.

Есть ли 100% варианты, чтобы канал из Китая был адекватным?

Нет. В битве брони и снаряда пока что поле боя за Великой Стеной :) (Хотя конечно же, сейчас тут могут набижать суперчеловеки у которых везде все работает. Правда, зачастую когда начинаешь выяснять - ну просто чтобы опыт перенять - может оказаться, что "... и не тысячу, а десять тысяч, и не рублей, а долларов, и не в лотерею, а в карты, и не выиграл, а проиграл.")
На самом деле китайцы великие затейники и в деле построения файрволлов и в деле их обхода ;)

Никак.

Только "свой VPN = надежный VPN". И то, при некоторых условиях (хостер запросто сделает образ ВМ так, что ты не заметишь, шифрование не поможет, потому что нет доверенного загрузчика, не поможет даже дедик, собранный тобой и отправленный туда - как только ты теряешь "обратную связь" - возможность визуально проконтролировать сервер - так все, доверие на параноидальном уровне заканчивается)
Разумеется это все именно на параноидальном уровне - в большинстве случаев ты нафиг никому не нужен. Настоящая анонимизация - это сложное, нудное и очень дорогое занятие

Государству - да
Медийной персоне - скорее всего, да
Гражданину со связями - может быть, зависит от мощности связей и желания найти
Бизнесу - зависит от того, сколько он готов на это потратить
Обычному гражданину без связей - нет

Что значит "через определенный домен"? И зачем это Вам, я понимаю, что это защитная мера - защитная от чего, от кого?