Можете настроить ещё один впн с одного на другой сервер. А потом ещё на один.
Получится что-то вроде Тора, но концептуально вы проблему не решите - выходная нода по определению видит всё, через неё проходящее. С другой стороны - если там везде шифрование а-ля HTTPS, кого это волнует?
IPSec в качестве впна для коллектива, имхо, так себе идея. Расскажите критерии, по которым отсеялись более традиционные и гибкие варианты - опенвпн, вайргард, эниконнект?
Если имеется в виду Oracle Cloud - то по умолчанию правила фаерволла там настраиваются в двух местах, глобально в панели управления вашей виртуальной сетью, и непосредственно в iptables виртуалки.
На роутере такой широкий спектр контента блокируется не особо надёжно - куда конструктивнее установить ПО на конечных устройствах.
"Безопасные" DNSы на роутере, допустим, что-то заблокируют. Но с мессенджерами это вряд ли поможет, т. к. пул их адресов может меняться - соответственно, понадобится какой-то механизм актуализации списков.
Удивлюсь, если кто-то согласится бесплатно дебажить ваши туннели. Курите логи подключения, ищите сообщения об ошибках, это полезно в долговременной перспективе.
Локальный провайдер внутри впн-туннеля не может ничего вам ограничить. Дело скорее всего в DNS, если они у вас тоже не ходят внутри впна; либо там, где терминируется впн, эти ресурсы тоже заблокированы.
Указанные вами команды не делают ничего немедленно, для их применения нужно перечитать конфиг командой sysctl -p. Просто отредактируйте файл, удалив ненужные строки.
Что за впн-то? S2S - это вид конфигурации, а не название ПО. Если это IPSec - в винде есть встроенный клиент. Если что-то другое - наверняка клиент можно скачать.
Я подразумеваю связку: Клиент -------- VPN1 ------- VPN2 -------- Интернет.
На клиенте настраиваете впн-коннект к серверу1, на сервере1 впн-коннект к серверу2 и форвард пакетов с маршрутизацией либо НАТом. Фактически, последнее звено необязательно даже заворачивать в впн - можно просто форвардить трафик с маскарадингом на втором сервере.
Вы уверены, что хорошо понимаете суть DNS? Разделение по именам хостов, располагающихся на одном IP-адресе имеет смысл для HTTP - можно настроить разную обработку запросов в зависимости от заголовка Host.
На устройствах ничего прописывать и не нужно - достаточно, чтобы роутер, являющийся для той сети шлюзом, знал, куда отправлять пакеты для 10.10.10.3. Ну и впн-сервер, соответственно, понимал, что делать с этими пакетами.
