CityCat4

Первое - это для настройки профиля (закладка Profiles)
Второе - для предложения (закладка Proposals)
SA ... - это тайминги в секундах

С той стороны скорее всего циска, причем видимо не самая новая, раз md5 включили в proposal. Ну или какая-то еще другая не больно новая железка, похоже sha1 - ее максимум

Английским по белому - вторая сторона не отвечает. С какого, кстати уха, Вы ломитесь на порт 22? Обычно IKE слушает порт 500

О, Боже, опять школота, воображающая, будто кто-то будет ломать шифрование, а не его. Какова модель нарушителя? От кого хотите защититься?

Если мама/жена/сосед - любой vpn на своем vps в голландии например даст абсолютно бронебойную защиту с любым современным шифром.
Если работодатель (и на компе работодателя и в рабочее время) - вопрос обычно решается в местной СБ (а там, где ее нет - там всем на все как обычно).
Если государство - не будет там никто заморачиваться вскрытием шифрования - там есть другие способы и они работают очень эффективно.

Есть ли 100% варианты, чтобы канал из Китая был адекватным?

Нет. В битве брони и снаряда пока что поле боя за Великой Стеной :) (Хотя конечно же, сейчас тут могут набижать суперчеловеки у которых везде все работает. Правда, зачастую когда начинаешь выяснять - ну просто чтобы опыт перенять - может оказаться, что "... и не тысячу, а десять тысяч, и не рублей, а долларов, и не в лотерею, а в карты, и не выиграл, а проиграл.")
На самом деле китайцы великие затейники и в деле построения файрволлов и в деле их обхода ;)

Никак.

Только "свой VPN = надежный VPN". И то, при некоторых условиях (хостер запросто сделает образ ВМ так, что ты не заметишь, шифрование не поможет, потому что нет доверенного загрузчика, не поможет даже дедик, собранный тобой и отправленный туда - как только ты теряешь "обратную связь" - возможность визуально проконтролировать сервер - так все, доверие на параноидальном уровне заканчивается)
Разумеется это все именно на параноидальном уровне - в большинстве случаев ты нафиг никому не нужен. Настоящая анонимизация - это сложное, нудное и очень дорогое занятие

Государству - да
Медийной персоне - скорее всего, да
Гражданину со связями - может быть, зависит от мощности связей и желания найти
Бизнесу - зависит от того, сколько он готов на это потратить
Обычному гражданину без связей - нет

Что значит "через определенный домен"? И зачем это Вам, я понимаю, что это защитная мера - защитная от чего, от кого?

и оба корпуса имеют одинаковый белый ip

Хм. Что значит сие?

Я планирую перейти на VPN

Зачем, ну то есть от кого собираетесь шифроваться? Может быть, vpn тут не поможет :)

Я рассчитываю на 10 - 50 рублей в месяц.

Поржал. Нужен ты кому-то очень...

Пока не задана модель нарушителя - вопрос бессмысленен. Если это жена/сосед - этого достаточно, как правило. Если работодатель - смотря где работаете. Если государство - зависит от того, что и когда делаете. Вот сейчас например, скоро 9 мая. Попробуете сейчас загрузить на сайт Бессмертного Полка какие-нибудь "не те" фотки - и быстро узнаете, что найти Вас не помешает ни Tor, ни VPN...

Ну, во-первых тег "обфускация кода" тут ни при чем от слова совсем.
А во-вторых, раз узнали модное слово obfuscator, рекомендую не менее модное shadowsocks :) Он сделан китайцами - великими затейниками в деле обходе блокировок :)

Ну, есть способы, но они сложные и затратные - как и все, что связано с анонимностью :)

- Берете симку на бомжа Васю (не на себя!), покупаете телефон, с которого будете писать, но который не жалко.
- Садитесь в автобус самого длинного маршрута, где всегда дох.. народу. Желательно задрипанский, без регистратора.
- В автобусе пишете отзыв
- Как написали, тут же симку выбрасываете, телефон уничтожаете - прям физически разбиваете так, чтобы нельзя было восстановить

Но понимаете, дело в чем - если там у вас не огромная торговая сеть, то список недавно уволившихся - он не очень-то и длинный будет :) Искать начнут просто с другого конца :) И найдут :) А методами они стеснены не будут :)

Ничего не понятно. Кому получить, как получить, откуда получить. Вы, блин, сценарий атаки сначала распишите нормально и модель нарушителя укажите - кто пытается получить? У государства есть логи, всегда, если сервер физически в РФ (это так, JFYI)

Разумеется только свой. Здесь по крайней мере будет гарантия (не 100% конечно, но все же) от утечки логов (лог с твоей машины еслиф че и пров может отдать).
А заблокировать можно все - дурацкое дело нехитрое, тем более, что мы не ползем, и даже не едем - мы летим в сторону сегментации тырнета и "белых списков"

Потому что работа VPN сервера под виндой - не нубская тема. Проще готовые сборки будет поискать.

Первое, что приходит на ум - DPD. Если DPD включен, нужно чтобы керио его правильно ловил а не опускал соединение по неактивности (этим грешит racoon)
второе - при истечении таймаута на 75% заново проводится фаза2, возникает новое SPI, устройства начинают путаться в том, какую SPI использовать и так продолжается до тех пор, пока старая SPI не сдохнет (а это как раз 7 - 10 минут может занять).

Что можно сделать - посмотреть таймауты по фазам и политику их назначения и если можно забрать на микротики их назначение, может быть прибавить времени, отключить dpd (разумеется это все при наличии возможности это сделать - а то может быть там фиксированный набор настроек)

Примеры с сайта швана уже изучены? Там херова тележка примеров на все случаи жизни. XAUTH используется не часто - на обычный PSK нельзя?

Туннель между серверами А и Б. На сервере А - раздача IP и политики типа "все, что пришло с 1.2.3.4/24 - на сервер Б". На сервере Б политика типа "все, что пришло с 1.2.3.4/24 принять локально" (то есть доставить пакет по таблице маршрутизации, что вынудит сервер Б отправить пакет на свой default gateway).