CityCat4

Давайте начнем с того, кто в этой схеме Вы. Админ? Юзер? Вы хотите просматривать логи действий юзеров или хотите чтобы Ваши действия не отслеживались? В зависимости от этого и будет соответствующий ответ.

TL;DR - есть софт, который фиксирует действия юзера непосредственно на его компе. Спросите у гуглв, что такое СМП - это полезно будет знать и в том случае, если Вы админ, и еще полезнее - если юзер :)

Big Brother is watching YOU!

1. Решит ли приобретение у провайдера статического ip проблему?

Решит. Частично. После чего нужно будет поднять у себя VPN-сервер (у которого есть клиенты под андроид и яббл) и пользоваться.

скорость, безопасность и приватность этого соединения играют ключевую роль.

Скорость - будет ограничиваться либо скоростью домашнего провайдера либо скоростью провайдера подключения - смотря что медленнее (ну либо скоростью самого медленного участка - если подключение издалека)
Безопасность - зависит напрямую от того, какой VPN и как он настроен. Разумеется, pptp не использовать. Разумеется, md5 и прочее, давно сломанное не использовать (и даже sha1 стараться избегать по возможности). Разумеется, подключение к VPN без паролей - только по сертификатам - пароли через публичные wifi сети утекают только так.
Приватность - непонятно, что конкретно Вы имеете здесь в виду. Факт наличия VPN по данному адресу скрыть никак не получится - все существующие методы не рассчитаны на мобильных клиентов (а те, что есть скорее всего технически сложны и требуют рута). Факт подключения к VPN отражается сразу в двух логах - домашнего провайдера и сотового провайдера. Глобальный наблюдатель (государство) запросто их сопоставит - если Вы рассчитываете таким образом дуть государство - не получится. Устойчивость к лому будет зависеть от настроек VPN - в зависимости от клиента там будет возможность поставить его на произвольный порт или не будет.

Да любой, какой гугл найдет. Все равно логи ведут все, рекламу по возможности инжектят все, данные воруют все.

Роутинга в IPSec нет, его заменяют политики. Как напишете политики, так и будет ходить трафик. Но политика не может включать гейт, потому что через него передаются пакеты, поэтому писать ее придется для каждого IP в отдельности. Хотите избежать такого огорода - используйте RFC1918-адреса для серверов за гейтом.

А браузер поди тот же самый? VPS с виндой или гуевым линухом - это полностью другом комп по железу.

На pfsense нужен белый IP и пакет VPN. racoon под FreeBSD (на котором основан pfsense) точно есть, strongswan по идее должен быть, pptp сервер должен быть наверняка - уж такого-то гумна... Сложнее наверное будет с клиентами под яббл, искать придется.

В качестве сервера ессно VPS. Все три компа вяжутся к VPS через VPN (вариантов хоть #опой жуй, как организовать). Фактически мы имеем аналог роутера с тремя подсетями. В зависимости от технологии VPN может потребоваться или не требоваться настройка маршрутизации.

Это можно сказать классическое применение VPN :)

"Не бывает" (С) Чародеи

Вам не VPN нужен, а прокси. VPN - это зашифрованная труба, один конец которой у Вас на компе, а второй - на "той стороне" VPN. Все, что должно в него попасть, попадает и идет в тырнет уже с адресом "той стороны".

Лучший VPN - собственный!

Конечно, могут. И постоянно делают это, а кое-где (в РФ, например), они обязаны это делать :) (провайдеры).

Конечно, ssl защищает, но... есть такая штука как бампинг :) и в связи с повсеместной ssl-изацией я думаю, мы очень скоро увидим ее повсеместное применение в масштабах государства. Если провайдер/VPN/прокси для начала работы требует неважно по какой причине поставить сертификат - он точно будет бампить :) Если нет - могут писать логи, что тоже может быть интересным для определенных лиц...

VPN за границу РБ проходит? Судя по описанию, стоит жесткая блокировка именно http/https портов либо если работает DPI - http/https трафика. Если прочие порты не заблокированы - нужно организовать VPN на любой площадке вне пределов РБ.
Гугловские VPN и не будут работать - строить надо свой - и вешать его на произвольный порт. У strongswan есть клиент под андроид, серверная часть разворачивается на линухе на VPS, туда же для ускорения можно впилить прокси.

Прежде чем искать редкое расширение - надо задаться вопросом - а это кому-нибудь нужно? Тем более, работа с прокси, которые работают в "серой" зоне

UPD: На микротике это делается в два тычка в winbox :) на линухе тож.

Давайте начнем с терминологии :)

"Серый" IP - IP, совпадающий с одним из диапазонов, определенных в RFC1918. Выдается как правило он, потому что его использование никак не регламентируется - внутри сети провайдера.
"Белый" IP - все остальные, за исключением зарезервированных диапазонов. Важным требованием является уникальность данного IP во всей сети Интернет. Выдается далеко не всегда, только некоторыми провайдерами, только на некоторых тарифах, опсосами физикам не выдается вообще, только юрикам.

Если Вы не знаете терминологии - лучше ее не использовать, потому что когда Вы ее используете, люди считают, что Вы знаете о чем говорите.

2ip.ru и все прочие показывают не обязательно тот IP, который у Вас. Это будет справедливо только если:
- у Вас белый IP
- у Вас комп включен напрямую в Тырнет (впрочем разница между роутером и компом для юзера несущественна, поэтому второй пункт можно наверное и не учитывать)

2ip.ru и прочие показывают IP, с которого пришел запрос, а зто вовсе не одно и то же. Вы можете сидеть за могучим натом, за которым кроме Вас тысячи людей - и все они в тырнет ходят через 1 IP!

Никогда не пишите свои реальные IP. Приведенный в тексте обсуждения IP - принадлежит провайдеру ТТК (ТрансТелеКом). Мощный, надежный, магистральный провайдер. Один из тех, у которых забываешь телефон саппорта :D

Почему в другом месте по-другому? Ну, там может быть другой провайдер. Там Вы можете оказаться за могучим натом - а сервер-то не различает, Вы это или сосед Ваш, подключенный к этому же прову и выходящий в тырнет через тот же IP.

Что можно сделать?
- поменять прова
- использовать прокси/VPN
- купить белый IP

Не знаю, как насчет l2tp/ipsec, но обычный ipsec на сертификатах с виндой взлетает на ура.

Если только Вы для выхода в тырнет не используете прокси, то разумеется у него в логах подключения отобразится IP-адрес с которого было подключение. А уж пробить геолокацию IP-адреса элементарно. (IP в логах буде всегда, но в случае с прокси - это будет IP прокси)

"Локальном" по отношению к чему? Если чел подключается из дома, вовсе не факт, что у него будет тот же DNS...

Да у Вас просто связи нет с удаленной точкой. Английским по белому написано.