Вряд ли впн блокируется "с той стороны", это фетиш местных дуболомов. Пока централизованно вайргард не трогали, но если переживаете - настройте, например, cloak + openvpn.
Смысл обфускации в том и заключается - чтобы понять, что там внутри и отличить, например, от обычного HTTPS (в случае Cloak) было нельзя. Если же вы хотите убедиться, что оно работает - ну, снимите дамп tcpdump или Wireshark.
Практически все шифры, актуальные в наше время, используют PFS. Просто взять приватный ключ и всё надампленное расшифровать не получится. А в целом да - Wireshark умеет.
Можно пустить Ethernet через сеть 220В, см. "powerline ethernet", это компенсирует для вайфая толстые стены, дав возможность расположить точки доступа где нужно. Ну или просто кабели дотянуть до всех потребителей.
Если оба впна хотят у вас установить свой маршрут 0.0.0.0/0, то одновременно без приседаний никак. Если же эниконнект пушит только отдельные адреса/подсети - проблем быть не должно. Лично у меня спокойно сосуществуют опенвпн, wireguard и anyconnect.
Давно существует набор бест-практиксов от практически любого производителя железа - с указанием конкретных моделей, топологиями, способами масштабирования и т. д. В качестве примера можете взять одну из первых ссылок гугла по фразе "cisco network design best practices".