CityCat4

А браузер поди тот же самый? VPS с виндой или гуевым линухом - это полностью другом комп по железу.

На pfsense нужен белый IP и пакет VPN. racoon под FreeBSD (на котором основан pfsense) точно есть, strongswan по идее должен быть, pptp сервер должен быть наверняка - уж такого-то гумна... Сложнее наверное будет с клиентами под яббл, искать придется.

В качестве сервера ессно VPS. Все три компа вяжутся к VPS через VPN (вариантов хоть #опой жуй, как организовать). Фактически мы имеем аналог роутера с тремя подсетями. В зависимости от технологии VPN может потребоваться или не требоваться настройка маршрутизации.

Это можно сказать классическое применение VPN :)

"Не бывает" (С) Чародеи

Вам не VPN нужен, а прокси. VPN - это зашифрованная труба, один конец которой у Вас на компе, а второй - на "той стороне" VPN. Все, что должно в него попасть, попадает и идет в тырнет уже с адресом "той стороны".

Лучший VPN - собственный!

Конечно, могут. И постоянно делают это, а кое-где (в РФ, например), они обязаны это делать :) (провайдеры).

Конечно, ssl защищает, но... есть такая штука как бампинг :) и в связи с повсеместной ssl-изацией я думаю, мы очень скоро увидим ее повсеместное применение в масштабах государства. Если провайдер/VPN/прокси для начала работы требует неважно по какой причине поставить сертификат - он точно будет бампить :) Если нет - могут писать логи, что тоже может быть интересным для определенных лиц...

VPN за границу РБ проходит? Судя по описанию, стоит жесткая блокировка именно http/https портов либо если работает DPI - http/https трафика. Если прочие порты не заблокированы - нужно организовать VPN на любой площадке вне пределов РБ.
Гугловские VPN и не будут работать - строить надо свой - и вешать его на произвольный порт. У strongswan есть клиент под андроид, серверная часть разворачивается на линухе на VPS, туда же для ускорения можно впилить прокси.

Прежде чем искать редкое расширение - надо задаться вопросом - а это кому-нибудь нужно? Тем более, работа с прокси, которые работают в "серой" зоне

UPD: На микротике это делается в два тычка в winbox :) на линухе тож.

Давайте начнем с терминологии :)

"Серый" IP - IP, совпадающий с одним из диапазонов, определенных в RFC1918. Выдается как правило он, потому что его использование никак не регламентируется - внутри сети провайдера.
"Белый" IP - все остальные, за исключением зарезервированных диапазонов. Важным требованием является уникальность данного IP во всей сети Интернет. Выдается далеко не всегда, только некоторыми провайдерами, только на некоторых тарифах, опсосами физикам не выдается вообще, только юрикам.

Если Вы не знаете терминологии - лучше ее не использовать, потому что когда Вы ее используете, люди считают, что Вы знаете о чем говорите.

2ip.ru и все прочие показывают не обязательно тот IP, который у Вас. Это будет справедливо только если:
- у Вас белый IP
- у Вас комп включен напрямую в Тырнет (впрочем разница между роутером и компом для юзера несущественна, поэтому второй пункт можно наверное и не учитывать)

2ip.ru и прочие показывают IP, с которого пришел запрос, а зто вовсе не одно и то же. Вы можете сидеть за могучим натом, за которым кроме Вас тысячи людей - и все они в тырнет ходят через 1 IP!

Никогда не пишите свои реальные IP. Приведенный в тексте обсуждения IP - принадлежит провайдеру ТТК (ТрансТелеКом). Мощный, надежный, магистральный провайдер. Один из тех, у которых забываешь телефон саппорта :D

Почему в другом месте по-другому? Ну, там может быть другой провайдер. Там Вы можете оказаться за могучим натом - а сервер-то не различает, Вы это или сосед Ваш, подключенный к этому же прову и выходящий в тырнет через тот же IP.

Что можно сделать?
- поменять прова
- использовать прокси/VPN
- купить белый IP

Не знаю, как насчет l2tp/ipsec, но обычный ipsec на сертификатах с виндой взлетает на ура.

Если только Вы для выхода в тырнет не используете прокси, то разумеется у него в логах подключения отобразится IP-адрес с которого было подключение. А уж пробить геолокацию IP-адреса элементарно. (IP в логах буде всегда, но в случае с прокси - это будет IP прокси)

"Локальном" по отношению к чему? Если чел подключается из дома, вовсе не факт, что у него будет тот же DNS...

Да у Вас просто связи нет с удаленной точкой. Английским по белому написано.

ну разве что l2tp без шифрования тогда.

Хотя мне непонятно, как можно строить сеть на дишманском говне и что-то от нее ожидать... Но это так, мое imho

Все указанные действия не приводят к обнулению кармы.

И не приведут - потому что ни одно действие не меняет главного - набора характеристик браузера. Существует зиллион способов идентифицировать юзера, приходящего с разных IP, начиная он банальной супер-куки и до browser fingerprint.
Обычно в таких случаях делают как:
- генерят несколько вируталок в каждой из которых разные браузеры и сохраняют стартовые снапшоты
- используют одну виртуалку и при каждой ее загрузке стартуют со стартового снапшота (для гарантии можно что-нибудь менять - например поставить какой-нибудь софт, добавить фонтов, изменить разрешение консоли)
- если поймали бан, берут другую виртуалку
... и так далее...

Означает ли это то, что мой роутер втихаря отдает сайту какие-то данные

Нет, конечно же. Данные сами по себе магически не отдаются - их надо запросить. Если у Вас доступ из мира к роутеру открыт - он конечно данные отдает, но не какие-то, а совершенно определенные.

Возможно мой провайдер пришивает к моим запросам данные, которые позволяют идентифицировать меня, даже если я использую vpn.

А Вы кто - агент Ее Величества Королевы James Bond 007? Вот провайдеру делать больше нечего, как такой ерундой заниматься...

Для связи сеть-сеть есть один вариант - тут выбирать не из чего. Зачем Вам roadwarrior? Roadwarrior - это тогда, когда одна из сторон выходит через неизвестный заранее адрес, например телефон, планшет или допустим приехал я в другой город в командировку, привез с собой микротик, ткнул в гостиничный инет - опа, у меня VPN в контору!

Для постоянной связи обычно делают сеть-сеть. Ну, по крайней мере у меня так работает - с одной стороны rb450G, с другой - strongswan на линухе

Вау, какой интересный вопрос... И по моей части :)

OpenConnect мне не понравился. Какое-то топорное наколеночное поделие, для которого сам чуть ли не скрипты пиши - очень напомнило мне енота (racoon), в котором все тоже вроде как работало, только все это нужно было самому обвязать туевой хучей скриптов.

Здесь сразу возникает вопрос - где CA? Используется стандартный виндовый CA или ручной? Стандартный виндовый CA практически бесполезен для софта, который не от M$ - он тупо не умеет с ним работать - и даже для того, чтобы завести их в почте MS Outlook приходится бить в огромный бубен.

Затем второй вопрос - что в Вашем понимании "с помощью сертификатов"? Это просто сертификат сервера и сертификат удаленного узла или скажем сертификат пользователя и сертификат сервера? Больше информации нужно - кто должен цепляться к AD, какие сертификаты имеются в виду, откуда они берутся etc.

Задачка непростая и вполне возможно в текущей постановке не решаемая.