CityCat4

Простите, Вы хотите клиента под готовый протокол написать ли планируете разработать свой собственный? Если второе, тогда начать надо с проектирования протокола, а свистоп...ищалки всегда успеете привертеть.

Наверное сделать себе собственный VPN :) За бабки.

Наверное, можно. Только любой DPI эту маскировку расколет в два счета и обнаружит там либо VPN, либо SSL. И в том и в другом случае будет повод взять "на карандаш". Правда, дальше "карандаша" дело пойдет только если Вы медийная личность, ну или там CP/политота...

Про VPN в госконторах Тема старая, 2013 года, но не думаю, что что-то кардинально поменялось.

Это если у Вас госконтора. Если нет - IPSec на микротике с аутентификацией по сертификатам. RB1100AHx2 пойдет замечательно.

Если есть возможность взять какой угодно роутер, то стоит сначала погуглить про OpenWrt на нем и взять тот, в котором есть необходимые возможности. На указанном роутере работоспособность OpenWrt не подтверждена. То есть прошивка вроде бы как есть, но заработает ли она - фиг его знает...

Может. Я не в курсе, как там у вас построена сеть, как организован мониторинг юзеров, но я точно могу сказать, что есть возможность мониторинга всего, что происходит на рабочем компе - вплоть до нажатий клавиш (поэтому не стоит с него ходить в личные ящики) и скринов экрана. И никакой https Вас не спасет, никакие торы не закроют - только внимание к себе привлечете. Погуглите на досуге "Стахановец" :)
То, что Вы воткнули ноут в свободную розетку и через десять-пятнадцать минут никто не прибежал и не спросил - это что такое нарисовалось в сети, это конечно, отрицательно характеризует местного админа. Но не слишком обольщайтесь - например у нас на любую внезапно возникшую в сети тачку будет автоматически установлен агент СМП. Который исправно будет сливать все на сервер - ну как только до него достучится :)
Обойти - ну, наверное можно. Если знать о сети больше. Но предпринимая любые такие действия, Вы только помогаете местному админу :) найти незакрытые дыры, причем благодарности за это не ждите (хотя я всегда таких "инициативных" благодарю - у меня может не найтись времени проверить - а можно ли извернуться вот так)
ЗЫ: Любопытно, что больше всего о приватности и трудовом кодексе беспокоятся бездельники. Люди, которые ходят на работу работать - обычно на ней работают.
ЗЗЫ: Специально для ТС, чтобы он вдруг не посчитал меня "юзером, раздувающим байку" - админом я проработал с 1990 по 2013 год :) да и сейчас "почти админ", с отличием на одну буковку :)

Я Вас по-еврейски спрошу - а какова модель нарушителя? От кого пытаетесь скрыться и зачем?

А теперь по полочкам

Тор + vpn + vpn + виртуалка

Хоть дестять раз vpn - все равно Ваш реальный трафик проходит через провайдера. И он знает, что Вы используете VPN. Или Tor. И хоть сколько vpn делай - провайдер совершенно точно знает, когда и куда Вы подключались к Tor/VPNи еще куда. Есть такая штука - СОРМ.
Вы конечно спросите - ну и фиг? Ведь цепочка-то раскручивается с "того" конца? А у Вас весь трафик ходит через Tor? Tor - штука оооооочень неторопливая... Достаточно открыть один сайтик с котиками или кликнуть на ссылку в письме - и все, реальный IP засветился. Поищите в сети, как накрыли Silk Road

Может ли кто либо узнать мой адрес проживания у провайдера?

Соответствующие конторы - запросто. Точнее говоря не проживания, а подключения.

если пользоваться моб. интернетом то там адрес не привязан

Глубокое заблуждение. Сотовый постоянно сообщает свое местонахождение базовым станциям сети, тут никакой адрес не нужен, вычислить где находится абонент сейчас - вообще ниачем.

Что скажете на счет GPS на пк и смартфонах, достаточно их просто отключить

GPS тут ваще не при делах. Определение местоположения абонента - это базовый функционал сети, его невозможно ни отключить, ни как-то на него воздействовать (только выключить телефон).

Как найти, говорите? Ну, это зависит от того, для чего Вам вся эта вот система - ведь не ради того, чтобы допустим порно посмотреть,Вы это затеваете. Кроме чисто технических аспектов, есть ведь и другие способы...

Открыть лог и посмотреть с какого IP было подключение

АртемЪ дал замечательный ответ. Понятия "безопасный" и "удобный" - зачастую противоречат друг другу и как правило содержат взаимоисключающие требования. Я обычно спрашиваю в таких случаях - а вектор атаки каков? Чего опасаетесь? Если деанонимизции - то есть способы. Но они очень муторные и мееееедленные. Представьте себе, что Вы - агент по продаже женских купальников, работающий в Саудовской Аравии - чуть что, просто голову чик и все.

При линке двух микротиков там есть несколько нечевидных моментов, не описанных ни в одной документации

1. При формировании политик нужно указывать серые IP.
2. Шифрование SHA256 работает только при линке двух микротиков между собой.

Пример настройки:
(микротик с IP 1.2.3.4 связывается с микротиком с адресом 172.16.1.1, перед которым стоит роутер с адресом 4.3.2.1. За первым микротиком сетка с адресом 10.1.1.0/24, за вторым - 192.168.1.0/24)

Cо стороны микротика с серым IP

/ip ipsec peer
add address=1.2.3.4/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 proposal-check=strict
/ip ipsec policy
add dst-address=10.1.1.0/24 sa-dst-address=1.2.3.4 sa-src-address=\
    172.16.1.1 src-address=192.168.1.0/24 tunnel=yes

Cо стороны микротика с белым IP:

/ip ipsec peer
add address=4.3.2.1/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 passive=yes proposal-check=strict
/ip ipsec policy
add dst-address=192.168.1.0/24 sa-dst-address=4.3.2.1 sa-src-address=\
    1.2.3.4 src-address=10.1.1.0/24 tunnel=yes

Пример конечно без сертификатов, только на PSK, но наличие или отсутствие сертификатов не влияет на настройку

Тему анонимности в интернете тут уже неоднократно рассматривали. Так вот - ее нет. Просто нет и все и быть не может :) Потому что Ваш провайдер не просто знает, к каким серверам Вы обращались, но и сливает это куда надо (причем не по своей воле - ему положено).
А запрещать ICMP для большей анонимности - это примерно как выбить зубы, чтобы не бояться бормашины :)

Если только стандартный клиент андроида - только pptp. IPSec, который там якобы есть, на самом деле не работает - по крайней мере мне не удалось его спарить ни с StrongSwan на линухе ни с Racoon на микротике - не работает и все. Возникают какие-то нелепые ошибки. Кроме стандартного пробовало еще TheGreenBow IPSec клиент - но тот тоже не работает.
Можно установить StrongSwan клиента на андроид - с линухом работать будет, вариант проверенный, правда проверял с сертификатами. Могу даже конфигами поделиться для StrongSwan на сервере, настройки клиента тривиальные.

OMG, ну почему тут с такой завидной регулярностью всплывают такие вопросы? При той модели нарушителя, что у Вас - а по ней им является государство - нельзя. Ни тор, ни два тора, ни даже бублик Вас не спасут.

Вы включили роутер - и у провайдера есть отметка "Нода Х включила оборудование связи". Вы вышли в тор - и у провайдера есть отметка "Нода Х подключилась к серверу Tor". Если роутер делает еще что-то, даже мелочь - время обновляет, новые версии прошивки проверяет - все это будет записано у провайдера. Вы выключили роутер - у провайдера отметка "Нода Х провела в сети Tor столько-то времени". Если государство Вами заинтересовалось - оно получило эту информацию и не тратя лишнего времени, послало к Вам парочку людей в черных костюмах. Защиты от терморектального криптоанализа пока не придумано, поэтому Вы сами, добровольно и с песней, сдадите все свои ключи, расскажете куда ходили и т.д.

Это Вы типа анекдот записали - "анонимный VPN в России"? В свете принимаемых законов и общей тенденции к полному контролю за Сетью в России, сдачей ключей шифрования известно куда и т.д.?

"Нет, сынок, это фантастика..." (С)

Но по факту, при чистом Installed SAs листе у меня работает только один туннель из двух...

Разумеется, поскольку в записи SA в том виде, как она хранится в ядре - одно поле под индекс записи SP. Поэтому SA можно связать только с одной политикой. А раз так - значит надо построить политику так, чтобы нужная подсеть покрывалась одной маской. Например, указать в качестве dst-address 172.20.0.0/16 - тогда под действие этой политики будут попадать пакеты на оба хоста.

Если брать чистый IPSec, то клиентов - фиг да маленько. Есть стандартный клиент, встроенный в Андроид, Есть Strongswan. Есть TheGreenBow - платный, ломаного нет даже на 4PDA (если есть - буду очень рад ссылке в мыло). Есть клиенты, работающие только с специфичным железом - NCP, например.
С микротиком, например, запустить не удалось ни одного. С линухом (strongswan) клиент от strongswan заработал. Да, аутентификация всюду по сертификатам, по PSK может будет работать, не проверял.

Изучение каталога велосипедных деталей или даже разборка-сборка велосипеда не сформируют навык езды на нем. Построение VPN - это технология. Что брать, где настраивать, что куда вписывать. Достаточно один раз это проделать - и следующий раз делается на автомате. Это не конечная задача. Конечно задачей может быть "синхронизация между DC филиала и DC офиса", а VPN - всего лишь средство, это обеспечиввающее.
Пример с мостом в ответе SyavaSyava - замечательный.