CityCat4

В разделе маршрутизации. Микротик должен знать, что пакет, пришедший с 1.2.3.4 для 4.3.2.1 нужно направить в интерфейс [ifname0], пройдя по которому он достигнет либо 4.3.2.1 непосредственно, либо того, кто знает, куда этот пакет направить дальше. Ну и соответственно 4.3.2.1 должен знать, что если ему пришел пакет от 1.2.3.4, его не дискардить, а отправить тому, кто знает куда этот пакет девать. Тут настройки скорее всего придется делать на обеих микротиках.

Никак. Скоро начнут блокировать сами анонимайзеры.

1. Бюджет?
2. Скорости у филиалов?

Видеонаблюдение будет брать большую часть полосы тырнета, поэтому чем больше будет скорость тем лучше. Имейте в виду, что стоимость подключения для юриков может оказаться весьма неприятным сюрпризом.

А если логи сольет провайдер?

Начать надо с модели нарушителя - сто тыщ мильенов раз было сказано. От кого защищаетесь? От соседа Васи не нужно дабл-трипл и прочее VPN - хватит одного. "Люди в сером" возьмут сначала логи провайдера, а потом (возможно) - Вас за... руки. И подержат. И сами все расскажете.

В данных условиях - никак. Роутеры класса "все в одном для дома", в которых совсем нет IPSec. Как класса. Теоретически, связать сеть с динамическим IP с другой сетью с динамическим же IP можно (если конечно немного поизвращаться с DynDNS и т.д. - потому что как минимум одна сторона должна иметь постоянный адрес для подключения к ней). Но это не будет просто типа Next->Next->Next. Это pure IPSec, с сертификатами и немалой головной болью в виде "ну почему же эта щука не хочет связываться вон с тем пескарем?"

IPSec в настройке, если что, заметно сложнее. В Ваших роутерах возможно есть PPTP - его защита правда уже проломлена полностью, но если шифрование неважно, можно и попробовать.

Ну почему нельзя? Можно. Делайте. Только когда сломают - не говорите, что не предупреждали.

В Windows, если не использовать сторонние тулзы, все, что касается сертификатов невероятно запутано.

- Требуется ли AD для центра сертификации - не знаю, идея его разворачивать без AD никогда мне в голову не приходила. AD используется и очень широко.
- Весь выпуск сертификатов основан на шаблонах. Если сертификат должен иметь какие-то нетипичные OID - лучше сначала посмотреть - есть ли они в нужных шаблонах и есть ли такие шаблоны вообще, если нет - придется создавать.
- Отдельной программы создания CSR нет. Ну, в смысле, виндовой, графической со свистелками и пищалками, есть только текстовая программа, использующая текстовый ini-файл, называется, если не ошибаюсь certreq.exe Винда считает, что CSR должен генерится "на лету", запрос сразу попадать в центр сертификатции и сертификат выдаваться незаметно - так чтобы у юзера доступа к ключу сертификата не было :) Что разумеется, Вам не подойдет - сертификат же на яббл нужно будет ставить.
- Чтобы использовать сертификаты хоть где-нибудь, кроме как на компе, где генерился CSR, придется его (CSR) генерить сторонней тулзой и передавать в виде base64 в центр сертификации через веб-морду центра - сам так делаю, хоть это криво, неудобно и довольно нелепо. Но зато процесс формирования .p12 полностью подконтролен.

Запрос с устройства необязателен. Можно и на сервере генерить - если будет чем. Есть ли что-то такое в powershell - никогда не задумывался, может быть и есть

Мониторинг трафика IPSec делается не через устройства типа ipsec0 - это немножко вчерашний день :) Когда-то они были, да.
Вам нужно найти схему прохождения пакетов через iptables - полную, включающую xfrm encode и xfrm decode - урл не дам, но вот передо мной лежит печатный вариант под названием "Packet flow in Netfilter". И тогда все становится на свои места. xfrm encode - шифрование пакета, xfrm decode - соответственно расшифровка. xfrm lookup - проверка, подходит ли пакет под политики IPSec.

Под Ваши задачи как раз идет strongswan - на iOS взлетит встроенный, на андроиде есть клиент strongswan (встроенный - отстой), на винде нужно пробовать ShrewSoft. На сайте strongswan зиллион примеров конфигов под все мыслимые случаи и под роадварриор тоже есть.

Решений, кроме как на IPSec и на OpenVPN, Вы вряд ли найдете. На самом деле с роутингом IPSec все не так уж и сложно - достаточно сделать один филиал, остальные клепаются по шаблону, разве только с роадварриорами могут быть вопросы - я-то как раз пробовал железячное решение на микротике и пока отложил в связи с тем, что не было у микротика поддержки IKEv2 - появилась только недавно.

Простите, Вы хотите клиента под готовый протокол написать ли планируете разработать свой собственный? Если второе, тогда начать надо с проектирования протокола, а свистоп...ищалки всегда успеете привертеть.

Наверное сделать себе собственный VPN :) За бабки.

Наверное, можно. Только любой DPI эту маскировку расколет в два счета и обнаружит там либо VPN, либо SSL. И в том и в другом случае будет повод взять "на карандаш". Правда, дальше "карандаша" дело пойдет только если Вы медийная личность, ну или там CP/политота...

Про VPN в госконторах Тема старая, 2013 года, но не думаю, что что-то кардинально поменялось.

Это если у Вас госконтора. Если нет - IPSec на микротике с аутентификацией по сертификатам. RB1100AHx2 пойдет замечательно.

Если есть возможность взять какой угодно роутер, то стоит сначала погуглить про OpenWrt на нем и взять тот, в котором есть необходимые возможности. На указанном роутере работоспособность OpenWrt не подтверждена. То есть прошивка вроде бы как есть, но заработает ли она - фиг его знает...

Может. Я не в курсе, как там у вас построена сеть, как организован мониторинг юзеров, но я точно могу сказать, что есть возможность мониторинга всего, что происходит на рабочем компе - вплоть до нажатий клавиш (поэтому не стоит с него ходить в личные ящики) и скринов экрана. И никакой https Вас не спасет, никакие торы не закроют - только внимание к себе привлечете. Погуглите на досуге "Стахановец" :)
То, что Вы воткнули ноут в свободную розетку и через десять-пятнадцать минут никто не прибежал и не спросил - это что такое нарисовалось в сети, это конечно, отрицательно характеризует местного админа. Но не слишком обольщайтесь - например у нас на любую внезапно возникшую в сети тачку будет автоматически установлен агент СМП. Который исправно будет сливать все на сервер - ну как только до него достучится :)
Обойти - ну, наверное можно. Если знать о сети больше. Но предпринимая любые такие действия, Вы только помогаете местному админу :) найти незакрытые дыры, причем благодарности за это не ждите (хотя я всегда таких "инициативных" благодарю - у меня может не найтись времени проверить - а можно ли извернуться вот так)
ЗЫ: Любопытно, что больше всего о приватности и трудовом кодексе беспокоятся бездельники. Люди, которые ходят на работу работать - обычно на ней работают.
ЗЗЫ: Специально для ТС, чтобы он вдруг не посчитал меня "юзером, раздувающим байку" - админом я проработал с 1990 по 2013 год :) да и сейчас "почти админ", с отличием на одну буковку :)

Я Вас по-еврейски спрошу - а какова модель нарушителя? От кого пытаетесь скрыться и зачем?

А теперь по полочкам

Тор + vpn + vpn + виртуалка

Хоть дестять раз vpn - все равно Ваш реальный трафик проходит через провайдера. И он знает, что Вы используете VPN. Или Tor. И хоть сколько vpn делай - провайдер совершенно точно знает, когда и куда Вы подключались к Tor/VPNи еще куда. Есть такая штука - СОРМ.
Вы конечно спросите - ну и фиг? Ведь цепочка-то раскручивается с "того" конца? А у Вас весь трафик ходит через Tor? Tor - штука оооооочень неторопливая... Достаточно открыть один сайтик с котиками или кликнуть на ссылку в письме - и все, реальный IP засветился. Поищите в сети, как накрыли Silk Road

Может ли кто либо узнать мой адрес проживания у провайдера?

Соответствующие конторы - запросто. Точнее говоря не проживания, а подключения.

если пользоваться моб. интернетом то там адрес не привязан

Глубокое заблуждение. Сотовый постоянно сообщает свое местонахождение базовым станциям сети, тут никакой адрес не нужен, вычислить где находится абонент сейчас - вообще ниачем.

Что скажете на счет GPS на пк и смартфонах, достаточно их просто отключить

GPS тут ваще не при делах. Определение местоположения абонента - это базовый функционал сети, его невозможно ни отключить, ни как-то на него воздействовать (только выключить телефон).

Как найти, говорите? Ну, это зависит от того, для чего Вам вся эта вот система - ведь не ради того, чтобы допустим порно посмотреть,Вы это затеваете. Кроме чисто технических аспектов, есть ведь и другие способы...

Открыть лог и посмотреть с какого IP было подключение

АртемЪ дал замечательный ответ. Понятия "безопасный" и "удобный" - зачастую противоречат друг другу и как правило содержат взаимоисключающие требования. Я обычно спрашиваю в таких случаях - а вектор атаки каков? Чего опасаетесь? Если деанонимизции - то есть способы. Но они очень муторные и мееееедленные. Представьте себе, что Вы - агент по продаже женских купальников, работающий в Саудовской Аравии - чуть что, просто голову чик и все.

При линке двух микротиков там есть несколько нечевидных моментов, не описанных ни в одной документации

1. При формировании политик нужно указывать серые IP.
2. Шифрование SHA256 работает только при линке двух микротиков между собой.

Пример настройки:
(микротик с IP 1.2.3.4 связывается с микротиком с адресом 172.16.1.1, перед которым стоит роутер с адресом 4.3.2.1. За первым микротиком сетка с адресом 10.1.1.0/24, за вторым - 192.168.1.0/24)

Cо стороны микротика с серым IP

/ip ipsec peer
add address=1.2.3.4/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 proposal-check=strict
/ip ipsec policy
add dst-address=10.1.1.0/24 sa-dst-address=1.2.3.4 sa-src-address=\
    172.16.1.1 src-address=192.168.1.0/24 tunnel=yes

Cо стороны микротика с белым IP:

/ip ipsec peer
add address=4.3.2.1/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 passive=yes proposal-check=strict
/ip ipsec policy
add dst-address=192.168.1.0/24 sa-dst-address=4.3.2.1 sa-src-address=\
    1.2.3.4 src-address=10.1.1.0/24 tunnel=yes

Пример конечно без сертификатов, только на PSK, но наличие или отсутствие сертификатов не влияет на настройку