CityCat4

В общем случае - нет. Можно попытаться построить некоторые предположения и проверить их.
- если IP резолвится в имя, принадлежащее VPN-сервису - скорее всего VPN используется. Для этого нужно иметь списки IP, принадлежащие наиболее известным VPN-сервисам.
- если IP резолвится в имя, принадлежащее крупным датацентрам, есть некоторая вероятность того, что это "частный" VPN, который юзер поднял сам для себя.
- если запросы от юзера приходят одновременно с двух разных IP - как правило из-за ошибок маршрутизации, когда не все запросы направляются через VPN - можно предположить, что он за VPN
- если например на русскоязычный ресурс заходит браузер с русской локалью, но IP принадлежит Европе или Пиндосии - есть некоторая вероятность того, что это юзер, прошедший через VPN

Вы теоретически интересуетесь?

Можно нарушить цепочку "имя->IP", подставив вместо нормального IP адрес своего сервера или 127.0.0.1, как это делают провайдеры - проверяют DNS-запрос и в случае запроса закрытого ресурса тупо отдают вместо него адрес сервера с картинкой типа "CENSORED". Путь простой, но эффективный, хотя и обойти его несложно.
Обходится шифрованием DNS-трафика (например, пускаешь его в туннель до VPS в Гейропе)

Можно поставить прокси, на котором будут банится указанные домены. Чтобы успешно банить по https, понадобится бампинг и собственный СA - поэтому обычно этот способ для энтерпрайза. Как правило, если в конторе контролируют тырнет, то есть и средства контроля за обходом ограничений и попытавшись их обойти, можно попасть например на лишение премии :D

Мо;но использовать L3-фильтры - но нужна приличной мощности железяка - при включении L3-фильтра стандартный микротик RB2011 мгновенно захлебывается.

Установкой нормального кэширующего прокси с бампингом. Обычно это squid, могут ли это другие - неизвестно.

Также для решения этой задачи понадобится свой CA, который выпустит сертификаты для прокси и корневой сертификат которого нужно будет расставить всем, кто ходит через этот прокси. Это обязательное требование, без этого работать не будет.

Бампинг работает фактически как MitM - squid при установлении соединения выпускает свой сертификат и подсовывает его клиенту, клиент отдает начальный ключ шифрования прокси, тот, зная ключ расшифровывает сессию и устанавливает соединение от своего имени.

Знаете, этот "вопрос" тянет на приличное ТЗ с приличным бюджетом :) Причем вопрос бюджета будет первым, который Вам задаст любой человек, к которому обратитесь. Прям в лоб - "софт будет купленый или как обычно?" Потому что именно от этого начинается вытанцовка по серверам, сервисам и прочему.

На данный момент сеть одноранговая

OB, так и останется? Или будете подымать AD? Если да, то на чем - на винде? на самбе? Если на винде - заложены ли в бюджет деньги на лицензии для AD?

Большинство юзеров получают сеть по вайфай

Большинство пользователей имеют дело с графикой и видео, объемы большие.

Взаимоисключающие утверждения. Ну либо Вы настолько юзеров не любите. Везде, где есть возможность подтянуть провод - кладите провод.

О чем надо не забыть в построении грамотной сети?

При расчете количества розеток на место, умножайте их как минимум на полтора и планируйте так, как если бы помещение собрались заселить по максимуму - я видал множество помещений, где изначально планировали посадить трех человек, посадили пять плюс сетевой принтер, да еще стол, где сидят студенты с ноутами. Помните, что "потом" не будет. "Потом" неиллюзорно сложно будет раскачать руководство на докупку чего-либо, а вот в счет по СКС - а он будет весьма солидный - можно втихушку засунуть что-нибудь...

Хватит ли 1го сервера?

Если имеется в виду хост - то может быть и хватит - если забить на отказоустойчивость.

Какой гипервизор лучше подойдет?

Если один хост - ESXi бесплатен. Если больше одного - нужно покупать vCenter. Если денег нет - KVM, ProxMox - если готовы решать специфические проблемы

С чего начать?

С плана. С плана помещения (этажа, здания), на котором обозначить рабочие места, свитчи, маршрутизаторы, сервера и соединяющие их провода. Топологическая схема называется.

Как пользователям подключатся извне?

Через VPN вестимо. Какой? А какой одолеете. PPTP - просто, но не секурно. IPSec- секурно, но сложно.

В сторону какой железки смотреть?

На какую хватает денег. Для выхода в тырнет понадобится отдельный прокси - если конечно руководство у вас не настолько либеральное, что разрешает вконтактик без ограничения во время работы.

Может еще HelpDesk посоветуете?

саппорта - OTRS, разработческий - Redmine