CityCat4

Я Вас по-еврейски спрошу - а какова модель нарушителя? От кого пытаетесь скрыться и зачем?

А теперь по полочкам

Тор + vpn + vpn + виртуалка

Хоть дестять раз vpn - все равно Ваш реальный трафик проходит через провайдера. И он знает, что Вы используете VPN. Или Tor. И хоть сколько vpn делай - провайдер совершенно точно знает, когда и куда Вы подключались к Tor/VPNи еще куда. Есть такая штука - СОРМ.
Вы конечно спросите - ну и фиг? Ведь цепочка-то раскручивается с "того" конца? А у Вас весь трафик ходит через Tor? Tor - штука оооооочень неторопливая... Достаточно открыть один сайтик с котиками или кликнуть на ссылку в письме - и все, реальный IP засветился. Поищите в сети, как накрыли Silk Road

Может ли кто либо узнать мой адрес проживания у провайдера?

Соответствующие конторы - запросто. Точнее говоря не проживания, а подключения.

если пользоваться моб. интернетом то там адрес не привязан

Глубокое заблуждение. Сотовый постоянно сообщает свое местонахождение базовым станциям сети, тут никакой адрес не нужен, вычислить где находится абонент сейчас - вообще ниачем.

Что скажете на счет GPS на пк и смартфонах, достаточно их просто отключить

GPS тут ваще не при делах. Определение местоположения абонента - это базовый функционал сети, его невозможно ни отключить, ни как-то на него воздействовать (только выключить телефон).

Как найти, говорите? Ну, это зависит от того, для чего Вам вся эта вот система - ведь не ради того, чтобы допустим порно посмотреть,Вы это затеваете. Кроме чисто технических аспектов, есть ведь и другие способы...

Открыть лог и посмотреть с какого IP было подключение

АртемЪ дал замечательный ответ. Понятия "безопасный" и "удобный" - зачастую противоречат друг другу и как правило содержат взаимоисключающие требования. Я обычно спрашиваю в таких случаях - а вектор атаки каков? Чего опасаетесь? Если деанонимизции - то есть способы. Но они очень муторные и мееееедленные. Представьте себе, что Вы - агент по продаже женских купальников, работающий в Саудовской Аравии - чуть что, просто голову чик и все.

При линке двух микротиков там есть несколько нечевидных моментов, не описанных ни в одной документации

1. При формировании политик нужно указывать серые IP.
2. Шифрование SHA256 работает только при линке двух микротиков между собой.

Пример настройки:
(микротик с IP 1.2.3.4 связывается с микротиком с адресом 172.16.1.1, перед которым стоит роутер с адресом 4.3.2.1. За первым микротиком сетка с адресом 10.1.1.0/24, за вторым - 192.168.1.0/24)

Cо стороны микротика с серым IP

/ip ipsec peer
add address=1.2.3.4/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 proposal-check=strict
/ip ipsec policy
add dst-address=10.1.1.0/24 sa-dst-address=1.2.3.4 sa-src-address=\
    172.16.1.1 src-address=192.168.1.0/24 tunnel=yes

Cо стороны микротика с белым IP:

/ip ipsec peer
add address=4.3.2.1/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 passive=yes proposal-check=strict
/ip ipsec policy
add dst-address=192.168.1.0/24 sa-dst-address=4.3.2.1 sa-src-address=\
    1.2.3.4 src-address=10.1.1.0/24 tunnel=yes

Пример конечно без сертификатов, только на PSK, но наличие или отсутствие сертификатов не влияет на настройку

Тему анонимности в интернете тут уже неоднократно рассматривали. Так вот - ее нет. Просто нет и все и быть не может :) Потому что Ваш провайдер не просто знает, к каким серверам Вы обращались, но и сливает это куда надо (причем не по своей воле - ему положено).
А запрещать ICMP для большей анонимности - это примерно как выбить зубы, чтобы не бояться бормашины :)

Если только стандартный клиент андроида - только pptp. IPSec, который там якобы есть, на самом деле не работает - по крайней мере мне не удалось его спарить ни с StrongSwan на линухе ни с Racoon на микротике - не работает и все. Возникают какие-то нелепые ошибки. Кроме стандартного пробовало еще TheGreenBow IPSec клиент - но тот тоже не работает.
Можно установить StrongSwan клиента на андроид - с линухом работать будет, вариант проверенный, правда проверял с сертификатами. Могу даже конфигами поделиться для StrongSwan на сервере, настройки клиента тривиальные.

OMG, ну почему тут с такой завидной регулярностью всплывают такие вопросы? При той модели нарушителя, что у Вас - а по ней им является государство - нельзя. Ни тор, ни два тора, ни даже бублик Вас не спасут.

Вы включили роутер - и у провайдера есть отметка "Нода Х включила оборудование связи". Вы вышли в тор - и у провайдера есть отметка "Нода Х подключилась к серверу Tor". Если роутер делает еще что-то, даже мелочь - время обновляет, новые версии прошивки проверяет - все это будет записано у провайдера. Вы выключили роутер - у провайдера отметка "Нода Х провела в сети Tor столько-то времени". Если государство Вами заинтересовалось - оно получило эту информацию и не тратя лишнего времени, послало к Вам парочку людей в черных костюмах. Защиты от терморектального криптоанализа пока не придумано, поэтому Вы сами, добровольно и с песней, сдадите все свои ключи, расскажете куда ходили и т.д.

Это Вы типа анекдот записали - "анонимный VPN в России"? В свете принимаемых законов и общей тенденции к полному контролю за Сетью в России, сдачей ключей шифрования известно куда и т.д.?

"Нет, сынок, это фантастика..." (С)

Но по факту, при чистом Installed SAs листе у меня работает только один туннель из двух...

Разумеется, поскольку в записи SA в том виде, как она хранится в ядре - одно поле под индекс записи SP. Поэтому SA можно связать только с одной политикой. А раз так - значит надо построить политику так, чтобы нужная подсеть покрывалась одной маской. Например, указать в качестве dst-address 172.20.0.0/16 - тогда под действие этой политики будут попадать пакеты на оба хоста.

Если брать чистый IPSec, то клиентов - фиг да маленько. Есть стандартный клиент, встроенный в Андроид, Есть Strongswan. Есть TheGreenBow - платный, ломаного нет даже на 4PDA (если есть - буду очень рад ссылке в мыло). Есть клиенты, работающие только с специфичным железом - NCP, например.
С микротиком, например, запустить не удалось ни одного. С линухом (strongswan) клиент от strongswan заработал. Да, аутентификация всюду по сертификатам, по PSK может будет работать, не проверял.

Изучение каталога велосипедных деталей или даже разборка-сборка велосипеда не сформируют навык езды на нем. Построение VPN - это технология. Что брать, где настраивать, что куда вписывать. Достаточно один раз это проделать - и следующий раз делается на автомате. Это не конечная задача. Конечно задачей может быть "синхронизация между DC филиала и DC офиса", а VPN - всего лишь средство, это обеспечиввающее.
Пример с мостом в ответе SyavaSyava - замечательный.

Любое. Но если планируется много клиентов, лучше сразу предусмотреть некую систему обозначений какого-то деления, чтобы потом проще было ориентироваться.

А, простите, клиент на винде какой? Чтобы подключиться с винды, нужно преизрядно побиться головой об монитор... В логе видно, что просто ничего не произошло. Шван получил запрос на порт 500, послал ответ, в ответ не получил ничего и спокойно заснул дальше.

Вот в качестве примера конфиг, проверенный на Win7, на клиентах ShrewSoft и TheGreenBow

conn any-deltahwCA-rsa-sleepycat
        auto=add
        left=1.2.3.4
        leftid="<здесь subject сертификата сервера>"
        leftauth=pubkey
        leftcert=servercert.crt
        leftsubnet=10.1.1.0/24
        leftca="<здесь subject СA, выдавшего сертификат серверу>"
        leftfirewall=yes
        leftdns=10.1.1.1,10.1.1.4
        right=%any
        rightallowany=yes
        rightsourceip=10.1.1.28-10.1.1.30
        rightid="<здесь subject сертификата винды>"
        rightcert=windacert.crt
        rightauth=pubkey
        rightca="<здесь subject CA выдавшего сертификат винде>"
        keyexchange=ikev1
        ike=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024!
        esp=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024
        ikelifetime=2h
        lifetime=1h

Чтобы работала авторизация по сертификатам нужно сначала выдать (или получить) сертификат на сервер, на клиент, их соответственно поставить всюду, на сервер положить сертификат клиента. Данный пример рассчитан на прием соединения откуда угодно с динамическим назначением IP из указанного диапазона

Телепаты в отпуске :) Бессрочном. Что за VPN, каким образом подключение, что происходит... Правильный вопрос - половина ответа.
Вывод ifconfig будет не лишним.

Поднять VPN на шлюзе, где нет винды. RDP на винду - это вектор атаки.

TP-Link - "экономичное" железо, оно рассчитано на неприятазтельных пользователей, не знающих что такое "сертификат". Соответственно, роутер просто не поддерживает аутентификацию по сертификатам. И все. Для использования сертификата нужен другой роутер.

Микротик однозначно. SNMP есть. Мониторинг есть. Файрволл - линуховый iptables, слегка расширенный, можно использовать все линуховые схемы для прохождения пакетов. Правда, без знания как пакеты идут через iptables все равно микротиковский файрволл освоить будет трудновато.

Что же до pfSense, то хрен редьки не слаще - он основан на FreeBSD и pf. Человек, не рубящий в линухе, вряд ли справится с FreeBSD :-)