CityCat4

IPSec != IKE. От слова совсем. IKE - вспомогательный протокол для ESP/AH, которые обычно называют "семейство протоколов IPSec".
Провайдер блокирует порт или же у него DLP и он именно обнаруживает IKE? Попробуйте порт поменять.

В общем случае - нет. Можно попытаться построить некоторые предположения и проверить их.
- если IP резолвится в имя, принадлежащее VPN-сервису - скорее всего VPN используется. Для этого нужно иметь списки IP, принадлежащие наиболее известным VPN-сервисам.
- если IP резолвится в имя, принадлежащее крупным датацентрам, есть некоторая вероятность того, что это "частный" VPN, который юзер поднял сам для себя.
- если запросы от юзера приходят одновременно с двух разных IP - как правило из-за ошибок маршрутизации, когда не все запросы направляются через VPN - можно предположить, что он за VPN
- если например на русскоязычный ресурс заходит браузер с русской локалью, но IP принадлежит Европе или Пиндосии - есть некоторая вероятность того, что это юзер, прошедший через VPN

Проблем с VPN нет. :) Ну, пока. Для личных нужд пока не запрещено.

Запрещена деятельность VPN, которые игнорят списки РКН. То есть, если у тебя контора, которая предоставляет услуги VPN, ты обязан блокировать доступ к ресурсам по спискам РКН - или сам будешь заблокирован.

При чем тут, казалось бы, Tor? Погуглите "Дмитрий Богатов" - и сразу станет ясно, при чем :)

Определить факт того, что устанавливается VPN довольно просто - у них весьма специфическое начало сессии, даже если использовать нестандартные порты.

Третьего варианта точно не будет. Будет только первые два - либо они сливаются и начинают блочить по списку РКН, либо не сливаются и РКН блочит их самих. "Как раньше" уже не будет.

Версия микротика? IKEv2 там не так давно стало поддерживаться.
Еще вопрос - в политике dst-address указан 0.0.0.0/0 намеренно? Чтобы шифровались все пакеты, вышедшие из 192.168.3.1? И почему в src-address только один IP? при обьединении офисов обычно используют соединение "сеть-сеть".
Вот у меня политика для подключения домашней сети (рассчитана на микротик-микротик, но не суть):

/ip ipsec policy
add dst-address=10.54.200.0/24 proposal=proposal1 sa-dst-address=1.2.3.4 sa-src-address=1.3.4.5 src-address=10.87.1.0/24 tunnel=yes
/ip ipsec proposal
add auth-algorithms=null enc-algorithms=aes-256-gcm lifetime=1h name=proposal1
/ip ipsec peer
add address=1.2.3.4/32 auth-method=rsa-signature certificate="RB1100AHx2 DeltaHW cert with key" dpd-interval=disable-dpd enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=2h nat-traversal=no proposal-check=strict remote-certificate="RB450G DeltaHW cert"

Никаких отдельных роутов для сети 10.54.200.0/24 я не добавлял - незачем!

ca.crt - видимо сертификат СA, выдавшего сертификат, который используется для аутентификации соединения OpenVPN. Он нужен для того, чтобы подтвердить подлинность сертификата, который используется.

Для СБ не нужен факт наличия вконтактика внутри тора внутри випнета. Для СБ достаточно факта наличия випнета, если он не согласован с руководством или тора внутри випнета, если випнет согласован. После обнаружения оного уже могут вызвать на поговорить.

По крайней мере я бы сделал именно так. Общая ошибка всех, кто хочет быть хитрее ИБ-шника - непонимание того факта, что само использование какой бы то ни было защиты уже вас маркирует не хуже радиобомбы.