SunRiser

Насколько знаю ikev2 не умеет по psk. Клиент устанавливает защищенный SSL-тоннель с сервером, и уже внутри него передается логин-пароль. По умолчанию в Windows и macOS для передачи пароля используется алгоритм mschapv2. Таким образом с помощью SSL-сертификата клиент проверяет подлинность сервера, а по логину-паролю сервер проверяет подлинность клиента.

Подробнее: https://habr.com/ru/company/ruvds/blog/498924/

Взять на тест CHR Level 1 и спустя 60 дней ее просто нельзя будет обновить, но весь функционал этой версии останется.

Mikrotik cAP ac и настроить VDS. Если не хотите VDS, то можете любой wifi репитер.

Предлагаю вам использовать LteManager. Управление до 50 ПК бесплатно. Для безопасности отключайте возможность подключения по ID и коннектитесь только по IP.
В теперь ответы на ваши вопросы:
1) Желательно подключить белый IP. Есть вариант использовать dyndns (редиррект на ваш динамический), но разные провайдеры не обязательно роутят IP адрес. Скорее всего они его NATят. В таком случае на конечном хосте вам однозначно нужно купить белый IP. Что бы это проверить просто попробуйте подключиться на конечное устройство по IP. Если получится - можете использовать DynDNS, если нет, то белый IP.

Кстати лайфхак. Если хотите бесплатный домен для динамического адреса и у вас роутер Mikrotik, можете попробовать воспользоваться ихним сервисом


2) Проброс сделать нужно. В этом нет ничего сложного. Берете вашу модель роутера и гуглите "Проброс порта на ...."

3)Попробуйте LiteManager или Radmin (с сайтов неотделанных), не мучайтесь с VNC