CityCat4

Похоже, вчера вообще было массовое применение каких-то новых правил блокировки, потому что именно вчера лег bitbucket. И он посейчас работает клочками - где-то есть все, где-то нет ничего, где-то есть только ssh.

То, что начали давить openvpn - это меня нисколько не удивляет. Количество статей на тему "VPN за пять минут для домохозяек", скриптов развертывания и разных куберов-докеров-шмокеров достигло некоего порога, за которым его заметило государство. Заметило и тут же отвесило щелбана.

(это к вопросу воланий всех тех, кто до сих пор витает в ИТ-сфере, что "технология Х, обернутая в технологию Y, и обутая в технологию Z абсолютно неподконтрольна государству". Расслабьтесь, пока ваши Х/Y/Z на уровне статистической погрешности - вы никому не интересны. Как только они хотя бы в теории начнут угрожать государству - тут же найдут за что взять)

Wireguard приготовиться...

что мы идем по стопам Китайского чебурнета

Нет. Мы идем по стопам "сети света", то есть северокорейского варианта. Китайцы в массе своей гораздо более лояльны. У нас непременно начнут городить впн поверх тор поверх впн поверх тор, неважно что это будет работать со скоростью начала нулевых...
Поэтому мы неизбежно придем к полной деанонимизации тырнета, доступу по сертификатам и белому списку на граничных роутерах.

Никак :)

Двух default gateway просто не бывает :) Может быть policy pouting, может быть source routing - но это все явные предписания маршрутизации в том или ином случае. Default gateway один и нужен он для случая "пришла какая-то хрень, куда девать не знаю"

1. Создать IP нельзя. Никакой. Его можно получить.
2. VDS KVZ не бывает. Бывает либо VDS KZ (в Казахстане), либо VDS KVM (технология виртуализации такая)

Не могу понять в чем причина:

В неумении обьяснить, что хочется и что сделано

Любой крупный провайдер. Просто это стоить будет некоторые деньги :) Берете список провайдеров, которые напрямую участвуют в обмене на MSK-IX (это явно магистральщики), звоните в абонентский отдел, описываете ситуацию. К Вам выезжают люди, осматривают место, делают проект. В проекте обычно учитываается все - и стоимость кабеля (а это только оптика) и стоимость работ и стоимость оборудования и стоимость согласования со всеми инстанциями.
И еще не забудьте вписать в смету провайдерскую лицензию и согласование оной с ФСБ.

Нет аппаратного шифрования, следовательно шифрование нагружает процессор микротика. Когда рассчитвают именно на туннели по IPSec, обычно берут модели с аппаратным шифрованием. Можно попробовать установить со стороны микротика шифрование попроще - aes128-cbc и PFS modp1024, но особо прорывного действия я не оиждаю.
Прорывным действием будет только замена на модель с аппаратным шифрованием.

Если включен dpd - отключи нафиг. Или трафик гоняй между точками какой-никакой. Во времена, когда у меня была большая сеть туннелей к филиалам и магазинам одной, ныне почившей в обозе конторы, такие зависания я устранил, сварганив "сервис" для nagios, который раз в n секунд пинал центральный сервер со стороны узла. В качестве сервера там был racoon, он видел, что трафик есть и туннель не гасил.

с чего именно стоит начать

С умения искать. Безопасник, чем бы он ни занимался - в большинстве случаев работает один и умение искать - первое дело.
И знаете что - прочитайте рассказ Владимира Васильева "Нянька" :) Есть между его героем и нами, ИБ-шниками, нечто общее :)

Начнем с начала.

Зачем поставили? Кто поставил? Можно ли его не использовать? Зачем обьединять?

Вообще-то это все нужно было расписать сразу а не вынуждать задавать кучу вопросов.

Спокойно, это Туркменистан :) Там просто очень хорошо (как это ни странно) работает местный РКН, который нещадно банит IP провайдеров, которые предоставляют услуги VPS.
Не знаю, когда им это надоест, но подозреваю, что Туркменистан будет второй страной, где появится свой "Тукрменнет", изолированный от Сети и связанный с ней только мостом, на котором сидит МНБ - местное ФСБ.

По ссылке можно почитать, что проект местного Кванмена уже есть и обсуждается.
Интернет в Туркменистане

Нет никакого "вышестоящего провайдера" в смысле иерархии, которая может надавить на провайдера :) Вообще - инструментов воздействия на провайдера - нет (кроме обращения в саппорт и угроз обосрать его всюду, где только можно - иногда кстати это работает, особенно если есть опыт написания статьей в СМИ).
Может быть куча причин почему они не могут поменять маршрут, саппорт ничего может не сказать - просто будет Вас игнорить и все.

В Туркменистане белый IP тебе ничем не поможет :) Когда ты за NAT - у тебя заблокированы все порты, а работают только те, которые явно проброшены. Но опять же - обычно исходящие соединения разрешены (в Туркменистане конечно может быть и не так).

В гугле забанили? Или ты тоже, как мой сын, считаешь, что "гугл продался врагам"?

Скорее всего менять сетевку. Общая проблема дешевых сетевок - часть функций вынесена в дрова :) Кривые дрова от производителя - кривая работа.