CityCat4

Ну, во-первых, ты должен на него сертификат перенести :) если по ним (а если нет - что это за контора такая, которая СМП поставила, а сертификаты не умеет?)
А во-вторых, СМП - обычно централизованный и отсутствие агента на подключенном устройстве сразу аларм сыграет у админа безопасности.

Чего ждать? Тут я на "большом" хабре нашел статью от Роскомсвободы*, которая конечно уж не будет давать хороших прогнозов, но как это ни странно, в этот раз их прогноз весьма вменяем - вот, можно почитать

Часть этого уже внедряется, часть приступается к внедрению. Кое в чем они нагнали, но большая часть прогноза - 100% попадание.

* - Признана иноагентом по решению МинЮста

Критерий истины - практика.

Что касается IPSec (IKEv2 - это его часть, протокол аутентификации), есть и польжительный опыт и отрицательный.

Положительный:
Туннель в Голландию работает без каких-либо проблем.
Москва, Анапа, Кемеровская область - без проблем (оттуда к нам)

Отрицательный:
Казахстан - попытка подключиться неуспешная, блокировка.

Почему у меня работает IPSec? Ну, возможно потому что IP у нас от прова, который с физиками не работает (для проверки мне бы надо зацепиться в Голландию с домашнего микротика с IP ростелекома)

Никаких проблем не было, никаких альтерантив не использую.
Топорный IPSec по сертификатам, работает по всей России как из пушки (за границей никого не было, не проверял).
Точно то же самое со "страной цветов" - обычный IPSec по сертификатам, порт 500, никаких перебоев.

Я даже спрашивал уже - я какой-то не такой? Почему все бегают как тараканы по сковородке, а у меня все как работало, так и работает? :)

У серверов общий корневой центр выдачи, но разные промежуточные центры выдачи сертификатов.

Я бы начал с проверки валидности сертификатов в обеих системах - второго в первой, первого во второй. Это обычная ошибка при наличии двух выдающих субцентров - корневой в доверенных есть, а промежуточных - нет.

С разморозкой!

Это канало год назад. Сейчас всюду фильтров понаставлено по хостинговым IP - c них банально не пускают.

1. Создать IP нельзя. Никакой. Его можно получить.
2. VDS KVZ не бывает. Бывает либо VDS KZ (в Казахстане), либо VDS KVM (технология виртуализации такая)

Не могу понять в чем причина:

В неумении обьяснить, что хочется и что сделано

certificate verify failed

Ни на какие мысли не наводит? Обычно проверка валидности не проходит из-за недоверенного СA, который эти сертификаты выпускал.

Такая штука, что я бы на Вашем месте начал с согласования вопроса - а согласна ли компания, чтобы Вы работали на нее, будучи не в РФ? Потому что в случае, если согласны - то это будет головная боль отдела ИТ - как Вам обеспечить доступ, а если нет - это будет Ваша головная боль, когда Вас забанят.

Все приводимые тут способы - купить российский VPN, найти доброго самаритянина - они всем кому надо уже давно известны :)
IP-адреса пулов хостинга стабильны, не меняются и ИБ тех контор, которым это надо - уже давно в курсе
А что касается доброго самаритянина - палится это при первом же подозрении причем влет.

Стандартный VPN клиент поддерживает IKEv2, с микротиком работает как пушка... если дружишь с сертификатами :) потому что по ним проще всего, хотя это и не единственный способ
OpenVPN есть под винду
PPTP/L2TP сто тыщ мильенов лет как поддерживаются виндой искаропки.

Реально ли это?

Скорее всего реально подкачаешь туркменской СБ навыки - было забанено 95%, станет 96% :)

Потому что в настройках удаленного доступа по ошибке весь трафик направил через vpn :) Самая частая ошибка.

мне пришлось заменить файлы

Ну разумеется. А иначе придется всем рассылать оповещения - чуваки, скачайте новый сертификат сервера и поменяйте у себя.
ta.key не знаю зачем и dh.pem можно было бы и не менять - пусть новый инстанс сгенерит себе новую константу, а вот server.crt и server.key - правильно заменили. ca.crt - это просто файл корневых сертификатов

Давайте немного аналогий приведем. Сервер OpenVPN установил соединение с точкой А, B, C, D. То есть топологически он сейчас не отличается от роутера, у которого четыре интерфейса с подключенными к нему точками A, B, C, D.
Вопрос: можно ли обойтись без роутера?
Ответ: можно. Но так обычно никто не делает. Для этого нужно "всего лишь" чтобы в каждом компьютере было по три "сетевые карты". Ну то есть сеть будет по схеме "каждый с каждым". Надежность будет - во!
Ну и соответственно - настроить и поддерживать шесть соединений :)
Вам оно надо - дерзайте :)

Возможно, надо на VPS поставить прокси? :)

Идея состоит в чем:
- Трафик DNS должен ходить через туннель. Вообще весь - потому что простейший способ блокировки - перехват DNS и подмена данных на заглушку прова. Поэтому весь DNS нужно направить в туннель, а еще лучше поднять DNS для своей сети прям на микротике (а данные чтобы он забирал для себя с туннеля)

В IPSec вместо маршрутов - политики. Написать политику, что пакеты для сети такой-то нужно шифровать и отправлять на гейт такой-то, на гейте они расшифруются и пойдут по локальной таблице маршрутов, если в ней есть указание, куда этот пакет сувать - туда и засунут.