CityCat4

продавать на местную аудиторию

Хм. местную - аудиторию США или же аудиторию РФ? В РФ, если что facebook забанен :)

Чтобы вас распознавали именно как местных жителей - Вам нужны адреса, которые у местных жителей. Не местные ДЦ, где сразу делается допущение, что там может быть VPS, а именно местное локальное подключение. Для этого ессно вам надо иметь резидента в США, который будет держать у себя что-то, что вы будете использовать. Но при этом еслиф че, учтите, что шишки посыпятся на этого резидента, а в связи с нынешней ситуацией не только в РФ есть закон о фейках :)

Регистрироваться мне не захотелось. А так - вполне открывается, если озаботиться утечкой DNS.

Пожалуйста скажите, какой свод "мероприятий" я должен сделать чтоб получить доступ к ресурсу.

Заказать VPS в Забугории (у меня - Нидерланды)
Установить там VPN ( у меня банальный IPSec, никаких замудреных vless и прочее)
Поднять там прокси (у меня обычный squid)
Указать прокси-сервером VPN-адрес "той" стороны туннеля - это зашифрует трафик (если пох на чтение первого уровня - можно вообще без VPN, одно прокси). Прокси само запрашивает сайт назначения и поэтому DNS-тест видит, что запрос и на самом деле пришел с Нидерландов. Единственный сайт, который палит - intel.com

но мне бы хотелось реализовать это средствами pritunl.

Хотите дальше :) Мир стремительно, вот прям со скоростью паровоза бегущего в бетонную стену, разваливается на сегменты - и Сеть, как отражение этого мира - тоже разваливается. И в этом будущем "Кванмене по-[тут вставить название языка]" тырнет будет полностью контролироваться государством.

Для прохода именно ovpn - пока работает двойной VPN - сначала на сервак в РФ, потом с него за границу. Просто потому что пока не проверяют траф из ДЦ, но не думаю, что это надолго.

Клиентов IKE не бывает. IKE - это протокол согласования ключей, используемый в семействе протоколов IPSec. Клиентом IPSec в линухе является strongswan, у которого маразматически подробная документация и туева хуча примеров конфигурации.

Начать с того, что нарисовать схему - что куда будет прокидываться, потому что сейчас это звучит как дом, который построил Джек.

"...А это веселая птица-синица
Которая ловко ворует пшеницу
Которая в темном чулане хранится
В доме, который построил Джек..." (С) Английская народная сказка, перевод С.Я. Маршака

Что и как делать, чтобы перевести Iskratel RT-GM-3 в режим моста?

Связаться с саппортом, пропросить перевести в режим моста, спросить логин и пароль от pptp. Не слушать тех, кто говорит, что можно перевести самому. Да, наверное можно, но провайдер, увидев несогласованное изменение, запросто откатит обратно, а если не сможет просто заблокирует - и ты сам прибежишь.

Может ли провайдер отказать?

Не знаю, может и может, только зачем ему? Ему нужно, чтобы ты бабки гнал.

Какие модели роутеров посоветуйте с учётом вводных?

Микротик. Если "не шмогла" - Кинетик

У меня RT-GM-6, перевел в режим моста сразу после монтажа, прям челу, который монтировал сказал. Чем мне сразу логин-пароль выдал и переключил на следующий день.

Это у нас случай подключения по предварительному ключу (PSK, pre-shared key). Человеку, не знакомому с IPSec, правда довольно сложно будет растолковать про все это, сейчас поищу статью, вроде где-то было...

Просмотрите все данные о провайдере, который дал Вам IP. Даже такая мелочь, как адрес абузы в описании AS, указывающий на российский домен - может привести к тому, что IP посчитается российским.

Великий и ушастый РКН добрался до ваших мест. Outline детектится достаточно давно. Кроме того, есть очень очевидный признак, который будет Вас валить при любом протоколе - обьем трафика, идущего на один адрес за бугром.
Думаете с просто так люди греют голову, как им разделить траф - то, что для ru - пускать без VPN? Это сделано, чтобы сгладить пик потребления, идущий в одно и то же место. Делите траф и используйте vless или еще чего, которое пока не банят

На трубе - никак. Реклама на трубе вставляется самой трубой, можно только на клиенте что-то делать. В других случаях - можно попробовать блокировать домены, с которых она идет.

выпустил сертификат CA с флагом KLAT, сертификат Server с флагом KAT, дата действия CA 365 дней, а Server 3650 дней

Ничего не перепутали? Обычно у СА срок действия 5 - 10 - 20 лет, а у обычного - год.

с флагом KLAT, сертификат Server с флагом KAT,

Это не один флаг, а набор флагов. K - есть ключ к сертификату, L - есть CRL, T - доверенный. А - не знаю, что, возможно, что CA на микротике.

Если точно ничего не перепутали, лучше заново выпустить сертификат CA и заново сертификат сервера, потому что как только кончится сертификат CA - все сертификаты, выпущенные им, станут недействительны (однажды столкнулся, #опа еще та была)

Здесь много зависит от того, легитимно Вы это делаете или нет. Если легитимно - то просто VPN между роутером дома и роутером работы, с защитой по IP. На домашних компах будут доступны IP работы и наоборот (чтобы случайно на Вас не набрели коллеги - блок по внутренним IP на Вашем роутере). Я вот именно так работаю - у меня доступ к сети конторы 24х7.
Если же нет - то может ничего и не получиться :)

Уже двадцать раз было сказано - машина с Vipnet - только для vipnet. Во-первых, потому что при работающем випе вся остальная сеть глохнет нахрен (глушится випом), а во-вторых, конторы, которые используют вип для подключения к себе - способы причинить немало неприятностей, если от тебя к ним что-то проползет.
Поэтому виртуалка с випнетом - только для випнета. А работать с нее - через консоль, которую обеспечивает хостер - по-другому никак.

Хоть десять, если по портам не пересекаются.

Как обойти Endpoint Security подключиться к клиенту не из сети РФ?

Никак. И об этом уже писали - если на компе работает VPN такого класса, который отрубает все (в режиме - либо VPN, либо Сеть), то пытаясь каким-то образом устроить подключение в режиме VPN - ты запросто привлечешь внимание безопасников той сети, в которую VPN, обычно это "большие ребята" типа РЖД. Точно есть желание с ними бодаться?

Никак. Потому что если приложение не умеет работать с прокси - оно с ним не умеет работать.

Год работал без проблем

...а потом РКН научился его блокировать. И все. И то же будет с другими VPN - пройдет время, РКН научится их блокировать (а может быть вообще ему все надоест и будет белый список)

Если випнет - значит, что-то серьезное, ибо это мерзкий клиент от ребят типа РЖД. Вам точно нужны проблемы такого уровня? Никогда не используйте випнет на рабочих машинах, потому что эта штука отрубает нахрен все, кроме себя, когда работает.

Обнаруживается. Не везде и не всеми, но обнаруживается.