CityCat4

Неужели мне одному интересна авторизация по паролю?)

Видимо, да. Авторизация по паролю имеет некоторые преимущества, конечно (если пароль не запомнен в компе, а запомнен в голове) - например, его украсть невозможно. Если же он запомнен на компе - в режиме авторизации по паролю нет никаких преимуществ.
В документации на strongswan есть все мыслимые и немыслимые примеры сочетаний - придется конечно попыхтеть, чтобы приспособить их к микротику, но может быть и получится. А может быть и нет - это зависит от того, что там было реализовано в поддержке IKEv2

Пользователь не должен вообще никак возиться со скачиванием и установкой сертификатов.

Разумеется. Это за него должен делать админ. Либо вручную, либо наваять скрипт на vbs. Безопасность - она всегда перпердикулярна удобству :)

Взять инструкцию, почитать и настроить. Я гляжу, там полноценный IPSec имеет место быть. Это есть гуд :) Хотя конечно поипаца придется, IPSec - вовсе не нубская тема :)

Можно ли задать адрес локальной сети в филиале 192.168.1.0?

Можно. Но не нужно. Единственная известная мне причина, когда сеть настоятельно пытаются растянуть на L2 - это наличие софта с артефактами, например поиска компьютера сугубо по Netbios-имени (которое не работает ни через что, а работает только в пределах L2-сети). Попытка упростить себе администрирование приведет к его фантастическому усложнению.

Обычная схема построения VPN - это центр, к которому подключаются удаленные узлы. Маршрутизацию осуществляет центр. У центра своя подсеть, у узлов своя - у каждого узла своя. dhcp раздается узлом (теоретически dhcp можно пробрасывать с помощью dhcp realy, но при этом заметно страдает надежность - упал туннель - в филиале пропала сеть). Локальный DNS раздается центром, хотя при приличной нагрузке на узле обычно на узел ставят подчиненный сервер, на котором подымают дубли сервисов - dns, ad и прочее - чтобы не бегали юзера за аутентификацией на каждый чих в центр.

Ну, во-первых, строка

net.ipv6.conf.all.disable_ipv6 =3D 1

это либо косяк вставки, либо чушь, ибо "3D" - это код символа "=", а во-вторых правка этого файла ничего не делает :) Это файл настроек для sysctl, он применяется либо при перезагрузке, либо вручную.
Если Вы вручную его не применяли (командой sysctl -p), то в системе ничего не изменилось :) просто уберите нафиг строки, чтобы они не прочитались при следующей загрузке (они скорее всего все равно не применятся из-за синтаксической ошибки)

Если в настройках VPN указано гонять весь трафик через него - да. Но Вы же не настолько едиот, да? В противном случае, в корпоративную сеть попадает только трафик для нее самой.

Первое - это для настройки профиля (закладка Profiles)
Второе - для предложения (закладка Proposals)
SA ... - это тайминги в секундах

С той стороны скорее всего циска, причем видимо не самая новая, раз md5 включили в proposal. Ну или какая-то еще другая не больно новая железка, похоже sha1 - ее максимум

Английским по белому - вторая сторона не отвечает. С какого, кстати уха, Вы ломитесь на порт 22? Обычно IKE слушает порт 500

О, Боже, опять школота, воображающая, будто кто-то будет ломать шифрование, а не его. Какова модель нарушителя? От кого хотите защититься?

Если мама/жена/сосед - любой vpn на своем vps в голландии например даст абсолютно бронебойную защиту с любым современным шифром.
Если работодатель (и на компе работодателя и в рабочее время) - вопрос обычно решается в местной СБ (а там, где ее нет - там всем на все как обычно).
Если государство - не будет там никто заморачиваться вскрытием шифрования - там есть другие способы и они работают очень эффективно.

Есть ли 100% варианты, чтобы канал из Китая был адекватным?

Нет. В битве брони и снаряда пока что поле боя за Великой Стеной :) (Хотя конечно же, сейчас тут могут набижать суперчеловеки у которых везде все работает. Правда, зачастую когда начинаешь выяснять - ну просто чтобы опыт перенять - может оказаться, что "... и не тысячу, а десять тысяч, и не рублей, а долларов, и не в лотерею, а в карты, и не выиграл, а проиграл.")
На самом деле китайцы великие затейники и в деле построения файрволлов и в деле их обхода ;)

Никак.

Только "свой VPN = надежный VPN". И то, при некоторых условиях (хостер запросто сделает образ ВМ так, что ты не заметишь, шифрование не поможет, потому что нет доверенного загрузчика, не поможет даже дедик, собранный тобой и отправленный туда - как только ты теряешь "обратную связь" - возможность визуально проконтролировать сервер - так все, доверие на параноидальном уровне заканчивается)
Разумеется это все именно на параноидальном уровне - в большинстве случаев ты нафиг никому не нужен. Настоящая анонимизация - это сложное, нудное и очень дорогое занятие

Государству - да
Медийной персоне - скорее всего, да
Гражданину со связями - может быть, зависит от мощности связей и желания найти
Бизнесу - зависит от того, сколько он готов на это потратить
Обычному гражданину без связей - нет

Что значит "через определенный домен"? И зачем это Вам, я понимаю, что это защитная мера - защитная от чего, от кого?

и оба корпуса имеют одинаковый белый ip

Хм. Что значит сие?

Я планирую перейти на VPN

Зачем, ну то есть от кого собираетесь шифроваться? Может быть, vpn тут не поможет :)

Я рассчитываю на 10 - 50 рублей в месяц.

Поржал. Нужен ты кому-то очень...

Пока не задана модель нарушителя - вопрос бессмысленен. Если это жена/сосед - этого достаточно, как правило. Если работодатель - смотря где работаете. Если государство - зависит от того, что и когда делаете. Вот сейчас например, скоро 9 мая. Попробуете сейчас загрузить на сайт Бессмертного Полка какие-нибудь "не те" фотки - и быстро узнаете, что найти Вас не помешает ни Tor, ни VPN...

Ну, во-первых тег "обфускация кода" тут ни при чем от слова совсем.
А во-вторых, раз узнали модное слово obfuscator, рекомендую не менее модное shadowsocks :) Он сделан китайцами - великими затейниками в деле обходе блокировок :)

Ну, есть способы, но они сложные и затратные - как и все, что связано с анонимностью :)

- Берете симку на бомжа Васю (не на себя!), покупаете телефон, с которого будете писать, но который не жалко.
- Садитесь в автобус самого длинного маршрута, где всегда дох.. народу. Желательно задрипанский, без регистратора.
- В автобусе пишете отзыв
- Как написали, тут же симку выбрасываете, телефон уничтожаете - прям физически разбиваете так, чтобы нельзя было восстановить

Но понимаете, дело в чем - если там у вас не огромная торговая сеть, то список недавно уволившихся - он не очень-то и длинный будет :) Искать начнут просто с другого конца :) И найдут :) А методами они стеснены не будут :)