CityCat4

Не знаю, как насчет l2tp/ipsec, но обычный ipsec на сертификатах с виндой взлетает на ура.

Если только Вы для выхода в тырнет не используете прокси, то разумеется у него в логах подключения отобразится IP-адрес с которого было подключение. А уж пробить геолокацию IP-адреса элементарно. (IP в логах буде всегда, но в случае с прокси - это будет IP прокси)

"Локальном" по отношению к чему? Если чел подключается из дома, вовсе не факт, что у него будет тот же DNS...

Да у Вас просто связи нет с удаленной точкой. Английским по белому написано.

ну разве что l2tp без шифрования тогда.

Хотя мне непонятно, как можно строить сеть на дишманском говне и что-то от нее ожидать... Но это так, мое imho

Все указанные действия не приводят к обнулению кармы.

И не приведут - потому что ни одно действие не меняет главного - набора характеристик браузера. Существует зиллион способов идентифицировать юзера, приходящего с разных IP, начиная он банальной супер-куки и до browser fingerprint.
Обычно в таких случаях делают как:
- генерят несколько вируталок в каждой из которых разные браузеры и сохраняют стартовые снапшоты
- используют одну виртуалку и при каждой ее загрузке стартуют со стартового снапшота (для гарантии можно что-нибудь менять - например поставить какой-нибудь софт, добавить фонтов, изменить разрешение консоли)
- если поймали бан, берут другую виртуалку
... и так далее...

Означает ли это то, что мой роутер втихаря отдает сайту какие-то данные

Нет, конечно же. Данные сами по себе магически не отдаются - их надо запросить. Если у Вас доступ из мира к роутеру открыт - он конечно данные отдает, но не какие-то, а совершенно определенные.

Возможно мой провайдер пришивает к моим запросам данные, которые позволяют идентифицировать меня, даже если я использую vpn.

А Вы кто - агент Ее Величества Королевы James Bond 007? Вот провайдеру делать больше нечего, как такой ерундой заниматься...

Для связи сеть-сеть есть один вариант - тут выбирать не из чего. Зачем Вам roadwarrior? Roadwarrior - это тогда, когда одна из сторон выходит через неизвестный заранее адрес, например телефон, планшет или допустим приехал я в другой город в командировку, привез с собой микротик, ткнул в гостиничный инет - опа, у меня VPN в контору!

Для постоянной связи обычно делают сеть-сеть. Ну, по крайней мере у меня так работает - с одной стороны rb450G, с другой - strongswan на линухе

Вау, какой интересный вопрос... И по моей части :)

OpenConnect мне не понравился. Какое-то топорное наколеночное поделие, для которого сам чуть ли не скрипты пиши - очень напомнило мне енота (racoon), в котором все тоже вроде как работало, только все это нужно было самому обвязать туевой хучей скриптов.

Здесь сразу возникает вопрос - где CA? Используется стандартный виндовый CA или ручной? Стандартный виндовый CA практически бесполезен для софта, который не от M$ - он тупо не умеет с ним работать - и даже для того, чтобы завести их в почте MS Outlook приходится бить в огромный бубен.

Затем второй вопрос - что в Вашем понимании "с помощью сертификатов"? Это просто сертификат сервера и сертификат удаленного узла или скажем сертификат пользователя и сертификат сервера? Больше информации нужно - кто должен цепляться к AD, какие сертификаты имеются в виду, откуда они берутся etc.

Задачка непростая и вполне возможно в текущей постановке не решаемая.

Причем тут VPN? VPN - это

Virtual (Виртуальная, то есть воображаемая)
Private (Частная)
Network (Сеть)

Она Вам никак не поможет. RDP может быть поможет, но просмотр виедо по RDP - это мазо :)

Разрабатывать VPN-приложения пока не запрещено. Пользоваться VPN-приложениями (в РФ) пока не запрещено. Запрещено предоставлять услуги по обходу блокировок :)
Что будет с Васей в Турции - зависит от того, как к этому подходят турецкие законы. Если Васино приложение внезапно взлетает - его могут тупо убрать из стора по просьбе властей, если же у него три с половиной пользователя - то оно либо работает (если использует какие-то нетипичные приемы) либо попадает в блокировку на общих основания

Если есть связи, самое время их поднять :)

Потому что вычислить-то вполне реально, но придется провернуть нехилый обьем работы + нужен доступ к СОРМ и возможность слать запросы "просмотрите лог, кто подключался туда-то тогда-то".
И конечно же не лишним будет вспомнить, кто может отрастить такой зуб - это сузит круг проверяемых, сократит обьем работы ментам

- Берется любая жалоба, любое письмо, желательно в контору местного подчинения, чтобы при звонке ментов по поводу лога задержек не было, по логу вычисляется IP, с которого заходили, Если есть возможность, проверяется не одна такая жалоба, а штук десять - и смотрится IP. Если он один и тот же - зашибись, это ОН. (Даже если это IP VPN)
- Делается предположение, что ОН из нашего города и смотрится через СОРМ - кто когда откуда ходил на этот IP (или на сайты конторы, которой это принадлежит). Если повезет, то ОН найден :)
- Дело за малым - в зависимости от того, кто это сделать что-нибудь. А то может так случится, что Вы ЕГО вычислили, а ОН совершенно неприступен для Вас :)

Справа от надписи "Хабр Q&A" есть такая стрелочка острием вниз. Нажимаете на нее и видите строку "Фриланс". Вот Вам туда :)

Собственный.
Нет никакой гарантии, что этот "типо VPN" не сливает логи туда-куда-надо (ну, по его мнению)

VPN-типов в микротике зиллион. Вяжете, настраиваете маршрутизацию (если вяжете по IPSec - не надо). При необходимости можно развести пакеты маркировкой. Вполне себе стандартная задача.

swanctl -l?
ip xfrm policy list?

а также посмотреть здесь:
cat /proc/net/xfrm_stat - нет ли там ошибок при обработке пакетов

У меня был случай, когда микротик со шваном не хотели работать из-за того, что микротик использовал какую-то свою реализацию SHA256, но это было давно.

Как правило, РТК свои роутеры не продает, а сдает в аренду. То есть железка есть, но ... ее нет. У Вас есть юзерский логин (может быть), который дает кое-что там покрутить, никаких системных настроек Вам там не поменять.
Чтобы можно было и тырнет и управлять - если есть возможность, сделать из РТК-шного чисто конвертер интерфейсов/мост, за ним поставить собственный роутер и там уже настраивать, че надо. Если конечно РТК согласится.

А тырнет-то через что идет? Через сервер с файлопомойкой? Ну там и развертывайте VPN-сервер.

но к сожалению такой возможностью он не обладает.

Такой возможностью не обладает ни один коммутатор.