CityCat4

имхо тут эфир забит. Разнести устройства по частотам - часть унести на 2.4

Начать с того, что нарисовать схему - что куда будет прокидываться, потому что сейчас это звучит как дом, который построил Джек.

"...А это веселая птица-синица
Которая ловко ворует пшеницу
Которая в темном чулане хранится
В доме, который построил Джек..." (С) Английская народная сказка, перевод С.Я. Маршака

Великий и ушастый РКН добрался до ваших мест. Outline детектится достаточно давно. Кроме того, есть очень очевидный признак, который будет Вас валить при любом протоколе - обьем трафика, идущего на один адрес за бугром.
Думаете с просто так люди греют голову, как им разделить траф - то, что для ru - пускать без VPN? Это сделано, чтобы сгладить пик потребления, идущий в одно и то же место. Делите траф и используйте vless или еще чего, которое пока не банят

На трубе - никак. Реклама на трубе вставляется самой трубой, можно только на клиенте что-то делать. В других случаях - можно попробовать блокировать домены, с которых она идет.

Здесь много зависит от того, легитимно Вы это делаете или нет. Если легитимно - то просто VPN между роутером дома и роутером работы, с защитой по IP. На домашних компах будут доступны IP работы и наоборот (чтобы случайно на Вас не набрели коллеги - блок по внутренним IP на Вашем роутере). Я вот именно так работаю - у меня доступ к сети конторы 24х7.
Если же нет - то может ничего и не получиться :)

Начать надо с вопроса - а даст ли тебе пров заменить его роутер? РТК и МТС запросто не дадут. Поэтому обычно решение тут - роутер прова переводится в режим моста - провом! тебе только заявку подать и получить реквизиты подключения, за ним ставится твой роутер, на котором настраивается подключение к сети прова. Таким образом, роутер прова первращается в тупую железку, а вся раздача идет с твоего роутера.

Я трубу смотрю через Голландию, задержек не ощущая от слова совсем. Даже прикол был недавно - захожу во ВКонатктик и вижу на половине видосов своих пометку "Видео недоступно в вашей стране". Опять думаю копирасты буянят - а нет, там помечены такие видосы, которые точно без копирайта. Оказалось - прокси через Голландию выключить забыл :)
Берите Амстердам.

Как обойти Endpoint Security подключиться к клиенту не из сети РФ?

Никак. И об этом уже писали - если на компе работает VPN такого класса, который отрубает все (в режиме - либо VPN, либо Сеть), то пытаясь каким-то образом устроить подключение в режиме VPN - ты запросто привлечешь внимание безопасников той сети, в которую VPN, обычно это "большие ребята" типа РЖД. Точно есть желание с ними бодаться?

Приобрести роутер, которым можно было бы заменить существующий Iskratel RT-GM-3.

Mission failed. Сразу же. Провайдер никогда не позволит Вам поменять оптотерминал - у него их тысячи и все одинаковые, нахрен ему зоопарк?

Приобрести роутер, который можно было бы подключить к существующему Iskratel RT-GM-3

Вот это реальный вариант. Договариваетесь с провом о переводе терминала в режим моста (пров это сделает удаленно - вообще говоря он Вашим терминалом запросто удаленно управляет), получите логин-пароль для входа к прову, покупаете роутер, настраиваете его, вуаля.

(правильно ли я понимаю, что это называется «репитер»?).

Нет. repeat - повторить. Репитер - повторитель сигнала, расширающий зону действия другого устройства.

Нормальный работодатель никогда не посягнет на "территорию клиента". Есть оооочень много засад, в которые можно так вляпаться, что потом будешь долго бегать по судам :) особенно если нарваться на сотрудника с опытом хождения по оным.
Нормальный работодатель вручает ноут, на котором у Вас прав с воробьиный ... клюв (а Вы что подумали?), где все действия мониторятся - и работай на нем.

и каким образом он может цеплять пакети, что мне вообще не принадлежат.

Спроси у какера, видосик которого посмотрел ;) Цепляют обычно телок в местах их максимального сосредоточения :) А перехватить пакет можно только там, где он проходит :)

Есть не одна статья, а целый Уголовный Кодекс :)

Среда передачи недоступна

Нет подключения к точке доступа, проверяйте настройки.

Конечно.

Самый простой способ - все на провайдера1, если он отпал - на провайдера 2 (IP понятное вымышленные):

/ip route
add check-gateway=ping comment="Prov1 default" distance=1 gateway=1.16.22.3
add check-gateway=ping comment="Prov2 default" distance=2 gateway=19.22.2.1

distance переключаем руками, хотя наверное можно и скриптом.
Если нужно чтобы пров2 не простаивал, когда жив пров1 - морочиться с маркировкой трафика

Если рута нет:
- никак
Если рут есть:
- купить услугу статического IP

Роутер с оптикой? В аренде от прова? Ну тогда Вы ничего и не сможете - не ваше :) Попользоваться дали за бабки. Да и что тут перенастраивать-то?
Хотите контролировать все - звоните в саппорт с вопросом - как переключить в режим моста (если можно конечно). Если договариваетесь, ставите свой роутер за ентой железиной и там уже рулите в полную дурь. При подключении РТК/МТС обычно так делают (у меня так)

Каким образом можно указать для сети 10.1.1.1-100 gateway 10.0.0.1

никаким

Не являюсь специалистом в сетях, лишь экспериментирую и учусь,

Замечательно. Олиферов в зубы - и читать до посинения

кто-то со своим ПК подключается к магистральному маршрутизатору, назначая своей машине белый IP-адрес. Маршрутизатор же

...отбросит пакет с этого адреса, поскольку фильтрует трафик, отбрасывая все, что не является его адресами, поскольку адресу в заголовке пакета доверия нет.

Я так полагаю, хотите себе белый IP, но не хотите за него платить и рассматриваете варианты сбацать самому? Не проканает.

Это от контекста зависит. Устройство смотрит в тырнет - может означать, что устройство имеет подключение к тырнету, которое вовсе не обязательно прямое, а может означать именно прямое подключение к нему. Приложение смотрит - обращается куда-то и ищет какие-то данные где-то. Порт смотрит - скорее всего означает, что он проброшен через NAT и к нему есть доступ извне.

На самом деле это безграмотное выражение, примерно как описание неисправности автомобиля - "аккумулятор крутится, а газу нет" :D

Сетевка при блокировке засыпает и рвет коннекты.

Стоит ли приобретать NGFW железку иностранных брендов, если заранее известно, что плюшки подписок невозможны?

Разве только попонтоваться. Сегодня не подпадаете, завтра подпадете - кто знает, что там придумают завтра?

если железо куплено на юрлицо в РФ, а подписки на другое юрлицо?

Работать может и будет. А вот как это будет проводить ваша бухгалтерия - это уже совершенно отдельный вопрос...

Если посмотреть в сторону отечественных решений (Usergate, Eltex, Ideco)

Только не ideco :) Однажды меня попросили написать обзор на одну из моделей ideco, дали образ виртуалки, чтобы погонять. Ну я погонял, посмотрел, из чего оно состоит... и честно предупредил заказчика (а это был не ideco) - что положительный образ на это merde я написать не смогу, а отрицательный им наверное не нужен :D
Это была куча обычных приложений типа squid, strongswan etc, слепленная в одно и сверху покрытая тооооооненьким слоем их оболочки.

если в организации отсутствует отдел ИБ

На двести рыл по идее он должен уже появиться. И как раз маршрутизаторы, средства удаленного доступа, всевозможные раздачи и задачи прав - это будет по его части.