CityCat4

А с чего Вы вообще решили, что у Вас что-то пойдет в домашнюю сеть? У Вас точка-точка соединение, клиент по pptp получил ОДИН IP в сети офиса, прописал себе этот маршрут и работает себе. Но чтобы работало в обратном направлении - нужно прописать маршрут через микротик на данный конкретный IP через данный конкретный интерфейс (и то я вовсе не уверен, что будет работать).
Для связи сеть-сеть обычно pptp не используют.

Полностью - никак. Ибо есть мосты, адрес которых намеренно не публикуются (не забываем, что Tor - проект американской разведки, и предназначался он для связи с резидентами "в полях", но вырос и перешел на темную сторону :) ).
Можно заблокировать список стандартных входных нод.
Если контора - можно включить лог и давать по шапке всем, кто палится.

Попростому и быстрому - слева вверху выпадающий список, в котором сейчас выбрано Хабр Q&A. Нажать, выбрать Фриланс, найти того, кто сделает.

Провайдер :) сотовые провайдеры очень часто блокируют PPTP.

Конечно. Микротик поддерижвает концепцию "списков", которые запросто применимы к любой операции.

Например, черный список в два адреса 1.1.1.1 и 2.2.2.2 и запрет на любой трафик с них на порт TCP/80:

/ip firewall address-list
add address=1.1.1.1 list=poshelvzhopu 
add address=2.2.2.2 list=poshelvzhopu
/ip firewall filter
add action=drop chain=input src-address-list=poshelvzhopu protocol=tcp dst-port=80
add action=drop chain=forward src-address-list=poshelvzhopu protocol=tcp dst-port=80

мироктик клиентом на VPS (в смысле микротик для VPS - клиент, он к нему обращается). На VPS ставится strongswan, на микротике есть ikev2 (не знаю как в SXT, там level3 ROS), но вообще микротиковский VPS на линух работает годами без обрывов (имеется в виду IPSec, кстати никаких городушек типа IPIP туннеля ему не надо - он прекрасно работает сам по себе)

Нет, невозможно.
Меняйте ролями, чтобы сервер стал клиентом и наоборот.

Хотите узнать, есть ли в Вашей конторе СБ? Если это по работе - проще всего написать своему руководителю. Если нет - ну добро, дерзайте. Сейчас как раз руководство премию к НГ планирует - очень вовремя будет :)

Родной клиент windows не поддерживает наиболее безопасные методы шифрования.

Чи-во? AES256-CBC для Вас не слишком безопасный? Ну добро, что для Вас есть "безопасный метод шифрования"?

Для винды нет никаких IPSec клиентов - ни платных, ни бесплатных. Forticlient работать не будет - он работает исключительно со своим оборудованием. Когда-то были ZyWall, The GreenBow, ShrewSoft - но они все были жутко кривые и потому видимо померли.

Наоборот стандартному юзеру нужно, чтобы искаропки.

"Безопасный VPN" не бывает в вакууме. Сначала определяются для чего он нужен. Для стандартного применения - выход в корпоративную сеть с точки выезда в командировку или с дома при работе по удаленке встроенного виндового клиента овердофига, даже при том, что там PFS приходится выключать - а то обновление ключей не проходит, отработает час - и зависает.

Разумеется работает это все только по сертификатам, никаких там паролей.

Нужна, конечно. Причем, вовсе не абы какой SFP, лучше всего проконсультироваться в саппорте прова, возможно они же и SFP продадут. Да, это будет дороже, чем на стороне, но будет гарантия, что линк подымется.

Какая модель совместима с РТК?

Здесь скорее нужно ставить вопрос - какая модель совместима с микротиком? Потому что микротик жует не любой SFP - гигалинки не жует точно, SNR может зажевать, свой собственный SFP зажует точно (правда цена его выше). Лучше всего связаться с РТК и спросить, какой SFP поставить, чтобы точно заработало, возможно они даже придут со своим, по крайней мере к нам (правда, не РТК) пришли именно так - долго был секас на предмет "почему эта х..ва железка не работает", в итоге пров пришел со своей :)

Начать надо с того, какой тип VPN и как назначаются адреса его клиентам. В микротике сто тыщ разных VPN поддерживается, еслиф че.

Неужели мне одному интересна авторизация по паролю?)

Видимо, да. Авторизация по паролю имеет некоторые преимущества, конечно (если пароль не запомнен в компе, а запомнен в голове) - например, его украсть невозможно. Если же он запомнен на компе - в режиме авторизации по паролю нет никаких преимуществ.
В документации на strongswan есть все мыслимые и немыслимые примеры сочетаний - придется конечно попыхтеть, чтобы приспособить их к микротику, но может быть и получится. А может быть и нет - это зависит от того, что там было реализовано в поддержке IKEv2

Пользователь не должен вообще никак возиться со скачиванием и установкой сертификатов.

Разумеется. Это за него должен делать админ. Либо вручную, либо наваять скрипт на vbs. Безопасность - она всегда перпердикулярна удобству :)

И получить полноценный иск за попытку взлома сети оператора. Конкретная формулировка может быть другой, но смысл будет примерно таким. Тем более, что иск будет обращен не к Вам (физику), а к конторе (юрику). А с юрика (если только у него не Вы учредитель) взыскать деньги попроще, чем с физика.

Ну, версия хоста должна быть равна или меньше чем версия сферы - хостов версии выше чем у сферы, она просто не знает.
Вполне возможно, она ломится к хосту по каким-то портам, и пробиться не может.

Можно ли задать адрес локальной сети в филиале 192.168.1.0?

Можно. Но не нужно. Единственная известная мне причина, когда сеть настоятельно пытаются растянуть на L2 - это наличие софта с артефактами, например поиска компьютера сугубо по Netbios-имени (которое не работает ни через что, а работает только в пределах L2-сети). Попытка упростить себе администрирование приведет к его фантастическому усложнению.

Обычная схема построения VPN - это центр, к которому подключаются удаленные узлы. Маршрутизацию осуществляет центр. У центра своя подсеть, у узлов своя - у каждого узла своя. dhcp раздается узлом (теоретически dhcp можно пробрасывать с помощью dhcp realy, но при этом заметно страдает надежность - упал туннель - в филиале пропала сеть). Локальный DNS раздается центром, хотя при приличной нагрузке на узле обычно на узел ставят подчиненный сервер, на котором подымают дубли сервисов - dns, ad и прочее - чтобы не бегали юзера за аутентификацией на каждый чих в центр.

Полностью - нет. Потому что существует стопицот "шлюзов" для соцсетей, которые перенаправляют трафик. Нужен прокси с бампингом, нужно настроить всю сеть так, чтобы все ходили только через него и пара показательных выдач люлей тем, что ходить не будет.

В общем как всегда - если решать административно-техническую проблему только каким-то одним способом - получится ровно то, что получится - половина решения :)

Даня, ты ли это? :)

Чисто теоретически - на те модели, которые на arm (rb4011, например) - можно. Но поскольку исходных кодов винды нет - собрать ядро кросс-компилером и поместить его на загрузочный носитель (как это обычно делается для устройств на arm для линуха - малинки все возможные etc) - невозможно.

Да можно конечно