CityCat4

Разрабатывать VPN-приложения пока не запрещено. Пользоваться VPN-приложениями (в РФ) пока не запрещено. Запрещено предоставлять услуги по обходу блокировок :)
Что будет с Васей в Турции - зависит от того, как к этому подходят турецкие законы. Если Васино приложение внезапно взлетает - его могут тупо убрать из стора по просьбе властей, если же у него три с половиной пользователя - то оно либо работает (если использует какие-то нетипичные приемы) либо попадает в блокировку на общих основания

Если есть связи, самое время их поднять :)

Потому что вычислить-то вполне реально, но придется провернуть нехилый обьем работы + нужен доступ к СОРМ и возможность слать запросы "просмотрите лог, кто подключался туда-то тогда-то".
И конечно же не лишним будет вспомнить, кто может отрастить такой зуб - это сузит круг проверяемых, сократит обьем работы ментам

- Берется любая жалоба, любое письмо, желательно в контору местного подчинения, чтобы при звонке ментов по поводу лога задержек не было, по логу вычисляется IP, с которого заходили, Если есть возможность, проверяется не одна такая жалоба, а штук десять - и смотрится IP. Если он один и тот же - зашибись, это ОН. (Даже если это IP VPN)
- Делается предположение, что ОН из нашего города и смотрится через СОРМ - кто когда откуда ходил на этот IP (или на сайты конторы, которой это принадлежит). Если повезет, то ОН найден :)
- Дело за малым - в зависимости от того, кто это сделать что-нибудь. А то может так случится, что Вы ЕГО вычислили, а ОН совершенно неприступен для Вас :)

Справа от надписи "Хабр Q&A" есть такая стрелочка острием вниз. Нажимаете на нее и видите строку "Фриланс". Вот Вам туда :)

Собственный.
Нет никакой гарантии, что этот "типо VPN" не сливает логи туда-куда-надо (ну, по его мнению)

VPN-типов в микротике зиллион. Вяжете, настраиваете маршрутизацию (если вяжете по IPSec - не надо). При необходимости можно развести пакеты маркировкой. Вполне себе стандартная задача.

swanctl -l?
ip xfrm policy list?

а также посмотреть здесь:
cat /proc/net/xfrm_stat - нет ли там ошибок при обработке пакетов

У меня был случай, когда микротик со шваном не хотели работать из-за того, что микротик использовал какую-то свою реализацию SHA256, но это было давно.

Как правило, РТК свои роутеры не продает, а сдает в аренду. То есть железка есть, но ... ее нет. У Вас есть юзерский логин (может быть), который дает кое-что там покрутить, никаких системных настроек Вам там не поменять.
Чтобы можно было и тырнет и управлять - если есть возможность, сделать из РТК-шного чисто конвертер интерфейсов/мост, за ним поставить собственный роутер и там уже настраивать, че надо. Если конечно РТК согласится.

А тырнет-то через что идет? Через сервер с файлопомойкой? Ну там и развертывайте VPN-сервер.

но к сожалению такой возможностью он не обладает.

Такой возможностью не обладает ни один коммутатор.

IPSec.

В центральном офисе настраивается коннект на все филиалы, в филиале только центр. Политик правда на филиальных микротиках придется написать по количеству филиалов - на каждом, чтобы понятно было, что пакеты туда нужно не в тырнет, а в туннель. Весь прочий трафик на филиальных роутерах идет на их провайдера.
Правда, центральный должен быть с аппаратным шифрованием, иначе уже пара туннелей его поставит в положение ротного пулемета.

Очевидно, пробросить VPN до того роутера.

Да, Даня, "мы не ищем легких путей" - это про тебя :) Надо же додуматься - VPN сервер на винде ;)

я ищу сервис/провайдера, который игнорировал бы черный список сайтов и у которого была бы точка выхода в России

Это Вы сейчас либо смеетесь, либо провоцируете :) VPN, работающий в РФ не может не выполнять законодательства РФ. Даже если он сейчас на данный момент этого не делает - Вы думаете он тут сейчас это расскажет? Смеш-но... Все потому и берут забугорные VPN, потому что забугорщики обычно кладут на РКН преогромный болт. Некоторых блокируют и они либо начинают с РКН дружить либо забивают на клиентов из РФ :)

И не будет проблем с большим количеством пользователей (тысячи, а то и миллионы)?

Очередной эльф из параллельной вселенной? Те, у кого есть средства на организацию VPN на миллионы юзеров (а это очень приличные деньги) - они здесь не тусят, они фирму-интегратора нанимают (за толику малую, которая тем не менее составит столько, что им сразу - чай, кофе, печеньки и на все готовую девочку-персонального менеджера).

Если это Ваш собственный VDS - у Вас есть консоль в личном кабинете. Если нет - обратитесь к системному администратору :)

Даня, прежде чем пороть чушь - пожалей ее :) Она же визжать будет :)

PAM (Pluggable Authentication Modules) - исключительно линуховая штука. В винде возможно есть какие-то аналогичные механизмы, но они к PAM точно никакого отношения не имеют.

Нет :)

Потому что VPN - это технология построения туннелей между сетями. Обычному пользователю, если он конечно не админ, она не нужна, потому что у него нет сетей, с которыми ему нужно связываться :)

то, что expires in 48 seconds - это так и должно быть? Чему равно policy? strict, obey? Могу еще посоветовать отрубить нахрен dpd - у меня от него толку не было от слова совсем.

Ну и вот я сразу ошибку вижу:
received NO_PROPOSAL_CHOSEN error notify

Если это лог, снятый с Вашей стороны, то та сторона сообщает Вам, что нет у нее шифронаборов, соответствующих хотя бы одному из тех, что есть у вас в предложении (proposal). Настройте соединение так, чтобы принять настройки которые отдаст та сторона - и шифронаборы и время соединения - хотя бы чтобы убедиться, что с этим чекпойнтом вообще в принципе возможно увязаться.