CityCat4

Никак.

Причем, под словом "никак" следует понимать следующее: - "никак для тех задач, которые хотите и с тем уровнем подготовки, который есть". Потому что как правило хочется быстро скачивать большие обьемы, не имея никаких знаний в сетях.

Разумеется из этого "никак" есть исключения. Основаны они на том факте, что если протокол, по которому качаются данные допускает возможность скачивания кусками (как торрент, например), то суммировать скорость можно - за счет того, что части файла будут запрашиваться по двум каналам одновременно - разные части!

Поржал.
RB2011 - это роутер. Он довольно слабый, но для дома годится. Но это роутер, не более.

На микротике много чего есть. Но вопрос нифига не понятен. Какие "настройки сервера"? Какого сервера? НА роутер есть админские права? ovpn на микротике, насколько я знаю, работает и не жужжит, хотя сам не использую.

И кстати насчет "скрыть трафик". Скрыть получится его содержимое, но факт работы по vpn скрыть не получится. На микротике есть громадная куча разных vpn на любой вкус.

Телепаты в отпуске, где логи, Зин? На микротике IPSec-логи отличаются прям-таки маразматическими подробностями...

1. Нет. Нужно определиться, кто будет в DHCP - контроллер домена или микротик. Лучше контроллер домена, а на микротике - dhcp relay
2. Да, можно. dhcp relay опять же во всех подсетях на сеть, где dhcp-сервер
3.1 Не знаю, мне проще было поднять чистый IPSec
3.3 Да все на том же микротике разрешить порт 3389 остальное запретить на ту подсетку, из которой выдаются адреса VPN

Вопрос очень обьемный, многабукаф писать не хочу. Можно написать мне на мыло (в профиле), правда бывает отвечаю не сразу.

Хм. А много ли таких людей с такими требованиями? Чтобы устройство умело все это "искаропки" - нужно, чтобы это кто-то написал, кто-то проверил, кто-то оттестировал. Допустим, оно есть, но стоит сто тысяч - купите? Нет, не купите. Поэтому берете микротик и все настраиваете там.

А с чего Вы вообще решили, что у Вас что-то пойдет в домашнюю сеть? У Вас точка-точка соединение, клиент по pptp получил ОДИН IP в сети офиса, прописал себе этот маршрут и работает себе. Но чтобы работало в обратном направлении - нужно прописать маршрут через микротик на данный конкретный IP через данный конкретный интерфейс (и то я вовсе не уверен, что будет работать).
Для связи сеть-сеть обычно pptp не используют.

Полностью - никак. Ибо есть мосты, адрес которых намеренно не публикуются (не забываем, что Tor - проект американской разведки, и предназначался он для связи с резидентами "в полях", но вырос и перешел на темную сторону :) ).
Можно заблокировать список стандартных входных нод.
Если контора - можно включить лог и давать по шапке всем, кто палится.

Попростому и быстрому - слева вверху выпадающий список, в котором сейчас выбрано Хабр Q&A. Нажать, выбрать Фриланс, найти того, кто сделает.

Провайдер :) сотовые провайдеры очень часто блокируют PPTP.

Конечно. Микротик поддерижвает концепцию "списков", которые запросто применимы к любой операции.

Например, черный список в два адреса 1.1.1.1 и 2.2.2.2 и запрет на любой трафик с них на порт TCP/80:

/ip firewall address-list
add address=1.1.1.1 list=poshelvzhopu 
add address=2.2.2.2 list=poshelvzhopu
/ip firewall filter
add action=drop chain=input src-address-list=poshelvzhopu protocol=tcp dst-port=80
add action=drop chain=forward src-address-list=poshelvzhopu protocol=tcp dst-port=80

мироктик клиентом на VPS (в смысле микротик для VPS - клиент, он к нему обращается). На VPS ставится strongswan, на микротике есть ikev2 (не знаю как в SXT, там level3 ROS), но вообще микротиковский VPS на линух работает годами без обрывов (имеется в виду IPSec, кстати никаких городушек типа IPIP туннеля ему не надо - он прекрасно работает сам по себе)

Нет, невозможно.
Меняйте ролями, чтобы сервер стал клиентом и наоборот.

Хотите узнать, есть ли в Вашей конторе СБ? Если это по работе - проще всего написать своему руководителю. Если нет - ну добро, дерзайте. Сейчас как раз руководство премию к НГ планирует - очень вовремя будет :)

Родной клиент windows не поддерживает наиболее безопасные методы шифрования.

Чи-во? AES256-CBC для Вас не слишком безопасный? Ну добро, что для Вас есть "безопасный метод шифрования"?

Для винды нет никаких IPSec клиентов - ни платных, ни бесплатных. Forticlient работать не будет - он работает исключительно со своим оборудованием. Когда-то были ZyWall, The GreenBow, ShrewSoft - но они все были жутко кривые и потому видимо померли.

Наоборот стандартному юзеру нужно, чтобы искаропки.

"Безопасный VPN" не бывает в вакууме. Сначала определяются для чего он нужен. Для стандартного применения - выход в корпоративную сеть с точки выезда в командировку или с дома при работе по удаленке встроенного виндового клиента овердофига, даже при том, что там PFS приходится выключать - а то обновление ключей не проходит, отработает час - и зависает.

Разумеется работает это все только по сертификатам, никаких там паролей.

Нужна, конечно. Причем, вовсе не абы какой SFP, лучше всего проконсультироваться в саппорте прова, возможно они же и SFP продадут. Да, это будет дороже, чем на стороне, но будет гарантия, что линк подымется.

Какая модель совместима с РТК?

Здесь скорее нужно ставить вопрос - какая модель совместима с микротиком? Потому что микротик жует не любой SFP - гигалинки не жует точно, SNR может зажевать, свой собственный SFP зажует точно (правда цена его выше). Лучше всего связаться с РТК и спросить, какой SFP поставить, чтобы точно заработало, возможно они даже придут со своим, по крайней мере к нам (правда, не РТК) пришли именно так - долго был секас на предмет "почему эта х..ва железка не работает", в итоге пров пришел со своей :)

Начать надо с того, какой тип VPN и как назначаются адреса его клиентам. В микротике сто тыщ разных VPN поддерживается, еслиф че.

Неужели мне одному интересна авторизация по паролю?)

Видимо, да. Авторизация по паролю имеет некоторые преимущества, конечно (если пароль не запомнен в компе, а запомнен в голове) - например, его украсть невозможно. Если же он запомнен на компе - в режиме авторизации по паролю нет никаких преимуществ.
В документации на strongswan есть все мыслимые и немыслимые примеры сочетаний - придется конечно попыхтеть, чтобы приспособить их к микротику, но может быть и получится. А может быть и нет - это зависит от того, что там было реализовано в поддержке IKEv2

Пользователь не должен вообще никак возиться со скачиванием и установкой сертификатов.

Разумеется. Это за него должен делать админ. Либо вручную, либо наваять скрипт на vbs. Безопасность - она всегда перпердикулярна удобству :)

И получить полноценный иск за попытку взлома сети оператора. Конкретная формулировка может быть другой, но смысл будет примерно таким. Тем более, что иск будет обращен не к Вам (физику), а к конторе (юрику). А с юрика (если только у него не Вы учредитель) взыскать деньги попроще, чем с физика.