CityCat4

Не будут.

Что есть в данном случае "модем"?
Как таковые, модемы перестали использоваться где-то в середине нулевых.
Как DSL-устройства кое-где еще используются, хотя скорости конечно там...
Как USB-устройства уже практически выродились после того, как в каждом телефоне появилась своя wifi точка, хотя я им пользовался еще в 2016 году :)

Однако я не могу понять, что нам мешает раздавать любые айпи адреса в подсети, так как при выходе в глобальную сеть они натятся и заменяются публичным(и).

Применение сети немного больше чем чья-то одинокая локалка. Так дикари обычно считают - "мы все человечество".
Вот например я произвожу видеокамеры (на самом деле вовсе не видеокамеры). Я вписываю в каждую адрес "по умолчанию" 192.168.1.1 и особо не грею голову, что камера куда-то полезет сраду после включения.

А если бы у нее стоял 200.200.200.1 (адрес принадлежит бразильской телекоммуникационной компании Embratel и находится в Рио-де-Жанейро - именно там, где все негры в белых штанах :)) - она как знать, могла бы и подключиться :)

если приложение итак находится на машине, имеющей свой адрес

Какой из? Даже у машин с одной сетевухой всегда два адреса - второй всегда 127.0.0.1. А вообще могут быть машины с двумя, тремя, ... N сетевухами...

Виртуалка эмулировала сетевуху, но не может эмулировать wifi, потому что обычно это не надо.

Сразу возникает два вопроса:
- читал ли RFC на протокол DNS и понимаешь ли принципы работы DNS?
- нахрена? Если думаешь таким образом обойти ограничения РКН - то нифига не выйдет - провайдер проверяет любой пакет на порт 53, куда бы ты его ни направил.

Именно поэтому появился DoH и именно поэтому так советуют DNS направлять через VPN

1. Сканирование WiFi - если сеть достаточно компактная, можно тупо телефоном проверять, иначе же автоматизировать.
2. Сканирование типа системы через nmap например. Роутер можно заставить прикинуться виндой, но для этого нужно иметь нехилую такую квалификацию, которая большинству любителей обойти корпоративный прокси и не снилась.
3. СМП на рабочих местах, регламенты с ознакомлением под роспись, и примерное анальное насилие над первым, кто попадется с трансляцией воплей на всю контору чтобы отбить желание дурить у других начисто.

Как всегда - комплекс административно-технических мер

Если Вы работаете в структурах, имеюших в штате такие группы захвата - можно. Технически это не особо сложно, у провайдера есть все данные, у хостера соцсети есть все данные, складываете один и два - и все. Обычному человеку это невозможно никак от слова совсем.

Насчет "нормальных-то стран" - в общем-то все верно, за одним небольшим замечанием - в нормальных-то странах люди определенных национальностей (пофиг на гражданство) людьми не считаются и с ними можно поступать как угодно...

А указывать порт при подключении не забываешь?

Похоже, вчера вообще было массовое применение каких-то новых правил блокировки, потому что именно вчера лег bitbucket. И он посейчас работает клочками - где-то есть все, где-то нет ничего, где-то есть только ssh.

То, что начали давить openvpn - это меня нисколько не удивляет. Количество статей на тему "VPN за пять минут для домохозяек", скриптов развертывания и разных куберов-докеров-шмокеров достигло некоего порога, за которым его заметило государство. Заметило и тут же отвесило щелбана.

(это к вопросу воланий всех тех, кто до сих пор витает в ИТ-сфере, что "технология Х, обернутая в технологию Y, и обутая в технологию Z абсолютно неподконтрольна государству". Расслабьтесь, пока ваши Х/Y/Z на уровне статистической погрешности - вы никому не интересны. Как только они хотя бы в теории начнут угрожать государству - тут же найдут за что взять)

Wireguard приготовиться...

что мы идем по стопам Китайского чебурнета

Нет. Мы идем по стопам "сети света", то есть северокорейского варианта. Китайцы в массе своей гораздо более лояльны. У нас непременно начнут городить впн поверх тор поверх впн поверх тор, неважно что это будет работать со скоростью начала нулевых...
Поэтому мы неизбежно придем к полной деанонимизации тырнета, доступу по сертификатам и белому списку на граничных роутерах.

Никак :)

Двух default gateway просто не бывает :) Может быть policy pouting, может быть source routing - но это все явные предписания маршрутизации в том или ином случае. Default gateway один и нужен он для случая "пришла какая-то хрень, куда девать не знаю"

1. Создать IP нельзя. Никакой. Его можно получить.
2. VDS KVZ не бывает. Бывает либо VDS KZ (в Казахстане), либо VDS KVM (технология виртуализации такая)

Не могу понять в чем причина:

В неумении обьяснить, что хочется и что сделано

Любой крупный провайдер. Просто это стоить будет некоторые деньги :) Берете список провайдеров, которые напрямую участвуют в обмене на MSK-IX (это явно магистральщики), звоните в абонентский отдел, описываете ситуацию. К Вам выезжают люди, осматривают место, делают проект. В проекте обычно учитываается все - и стоимость кабеля (а это только оптика) и стоимость работ и стоимость оборудования и стоимость согласования со всеми инстанциями.
И еще не забудьте вписать в смету провайдерскую лицензию и согласование оной с ФСБ.

Нет аппаратного шифрования, следовательно шифрование нагружает процессор микротика. Когда рассчитвают именно на туннели по IPSec, обычно берут модели с аппаратным шифрованием. Можно попробовать установить со стороны микротика шифрование попроще - aes128-cbc и PFS modp1024, но особо прорывного действия я не оиждаю.
Прорывным действием будет только замена на модель с аппаратным шифрованием.

Если включен dpd - отключи нафиг. Или трафик гоняй между точками какой-никакой. Во времена, когда у меня была большая сеть туннелей к филиалам и магазинам одной, ныне почившей в обозе конторы, такие зависания я устранил, сварганив "сервис" для nagios, который раз в n секунд пинал центральный сервер со стороны узла. В качестве сервера там был racoon, он видел, что трафик есть и туннель не гасил.