CityCat4

swanctl -l?
ip xfrm policy list?

а также посмотреть здесь:
cat /proc/net/xfrm_stat - нет ли там ошибок при обработке пакетов

У меня был случай, когда микротик со шваном не хотели работать из-за того, что микротик использовал какую-то свою реализацию SHA256, но это было давно.

IPSec.

В центральном офисе настраивается коннект на все филиалы, в филиале только центр. Политик правда на филиальных микротиках придется написать по количеству филиалов - на каждом, чтобы понятно было, что пакеты туда нужно не в тырнет, а в туннель. Весь прочий трафик на филиальных роутерах идет на их провайдера.
Правда, центральный должен быть с аппаратным шифрованием, иначе уже пара туннелей его поставит в положение ротного пулемета.

Да, Даня, "мы не ищем легких путей" - это про тебя :) Надо же додуматься - VPN сервер на винде ;)

как можно организовать сеть для двух виртуальных серверов на этом домашнем сервере так чтобы у каждого был свой внешний статический ip адрес.

Никак - потому что по условиям задачи он у Вас один. Но если предполагается разнести на разные сервера разные сервисы - это просто решается пробросом портов.

Ну, можно:
- сменить провайдера
- уволить админа (и ИТ-безопасника, если есть)

Потому что сеть, где юзера самостоятельно что-то там вынимают, переключают - это рассадник пиратки и вирусов :)

Чтобы можно было вписать у себя на ПК в проводнике \\Otec-PC

Вот именно так может и не получиться - откуда винда узнает что OTEC-PC имеет такой-то IP? Скорее всего получится типа \\192.168.x.x (или какие там будут разданы адреса с openwrt).
А так - вполне нормальная идея. Оба openwrt устанавливают коннект с VPS, и про маршрутизацию не забывать.

Блокировал по IP? Ну заведи список "привилегированных" компов и пропускай с них трафик до того, как сработает запрещающее правило.

Я не понял - у Вас тырнет будет с телефона что ли идти? В смысле - с жопореза3G? Почему бы тогда не перестать делать из буханки хлеба троллейбус, а не купить маршрутизатор с поддержкой 3G?

У чистого IPSec нет клиентской и серверной частей. Микротик запросто подымает соединение сам :)

Написать политику таким образом, чтобы локальный трафик попадал в туннель.
Трафик в цепочке output проходит стандартный путь: mangle->nat->filter, потом попадает в цепочку postrouting, где проходит mangle->nat, после чего ведро проверяет по таблице политик безопасности IPSec (security policy table) - нужно ли этот пакет шифровать?
Если шифровать нужно, то пакет шифруется в соответствии с таблицей ассоциаций безопасности (security associations table) и зашифрованный пакет снова проходит весь указанный путь

Способ и есть.
Берете VPS, настраиваете подключение туда. Там разруливаете все необходимые пробросы. Другого способа без белого IP нет.

Автомобили не летают не потому что мотор не потянет :) А потому что крыльев нет.

Дорогой провайдер, а почему у нас так интернет тормозит?

Дорогой провайдер заведет тикет в своем трекере, проверит пинг до роутера, увидит, что все нормально, отзвонится Вам, скажет, что у него все нормально, но если хотите, можем прислать специалиста, блаблабла. На работу Вашей локалки ему совершенно параллельно - кто там кого и зачем ддосит.

А может ли провайдер получить доступ к логам роутера, не зная пароля роутера?

Может, если это его роутер - в этом случае он сразу увидит в мониторинге нагрузку на внутреннем интерфейсе, - либо если админ лох и не сменил пароль (а где можно и логин) администратора.

Защищенная локальная сеть (после подключения кабеля Ethernet необходимо ввести ключ или т.п.)

Это как? После подключения куда? В роутер? А ключ где и куда вводить? Или в рабочую станцию? Так это функционал рабочей станции - роутер тут при чем?

Через кабель Ethernet будут подключены WiFi точки доступа Mac Capsule, способом, который доступен в Mac Capsule

Ну будут подключены и что? Какое здесь требование к роутеру?

Маршрутизатор должен реализовывать VPN сервер, к которому можно будет подключиться из сети Интернет

В микротике есть. Но клиента скажем под винду - еще поискать надо. А если надо под все мобильные ОС - тут сначала нужно будет долго и обстоятельно гуглить - а то велик шанс купить девайс под который нет, не было и не будет клиента под какую-нибудь ОС

Скорее всего, это соседние абоненты. Я тоже вижу "серый" трафик на внешнем интерфейсе от провайдера. Но мне он неинтересен, я его сразу блокирую.

Как можно решить проблему? Кому пожаловаться?

Богу, которому молитесь. Если же атеист - просто нажраться с горя. Провайдеру класть на Ваши проблемы. От слова совсем. Если Вам что-то не нравится - переходите к другому. Хоть на какое-то внимание на Ваши проблемы можно рассчитывать, если:
- Вы - крупный корпоративный клиент (причем понятие это у Мегафона - сами понимаете, что для него "крупный")
- у Вас есть внутри Мегафона знакомые и у Вас с ними хорошие отношения, даже если они не саппорт, могут по крайней мере свести с нужным челом. Все это разумеется ни капельки не гарантирует, что проблема будет решена как Вам надо, но хотя бы выслушают. В противном случае пошлют дежурную отписку :)

Beg your pardon...

"Недорогой" - это сколько? Одним 50 тыс -недорогой, другим 10 - "ужос как дорого"...

127.0.0.1 может отдать кто угодно, потому что этот адрес никого не обозначает :)