CityCat4

но не конкретные страницы на этих доменах).

Откель такая уверенность? Вы не видели кода этого сервиса, Вы не можете сказать, как он работает. Следовательно, предполагается наиболее плохое - сервис ведет полный подробный лог

не более, чем домены, без конкретных страниц.

Еще раз - Вы не видели код этого "vpn", Вы не знаете, как он работает. Поэтому следует предполагать, что могут слить все.

Неужели мне одному интересна авторизация по паролю?)

Видимо, да. Авторизация по паролю имеет некоторые преимущества, конечно (если пароль не запомнен в компе, а запомнен в голове) - например, его украсть невозможно. Если же он запомнен на компе - в режиме авторизации по паролю нет никаких преимуществ.
В документации на strongswan есть все мыслимые и немыслимые примеры сочетаний - придется конечно попыхтеть, чтобы приспособить их к микротику, но может быть и получится. А может быть и нет - это зависит от того, что там было реализовано в поддержке IKEv2

Пользователь не должен вообще никак возиться со скачиванием и установкой сертификатов.

Разумеется. Это за него должен делать админ. Либо вручную, либо наваять скрипт на vbs. Безопасность - она всегда перпердикулярна удобству :)

Взять инструкцию, почитать и настроить. Я гляжу, там полноценный IPSec имеет место быть. Это есть гуд :) Хотя конечно поипаца придется, IPSec - вовсе не нубская тема :)

Можно ли задать адрес локальной сети в филиале 192.168.1.0?

Можно. Но не нужно. Единственная известная мне причина, когда сеть настоятельно пытаются растянуть на L2 - это наличие софта с артефактами, например поиска компьютера сугубо по Netbios-имени (которое не работает ни через что, а работает только в пределах L2-сети). Попытка упростить себе администрирование приведет к его фантастическому усложнению.

Обычная схема построения VPN - это центр, к которому подключаются удаленные узлы. Маршрутизацию осуществляет центр. У центра своя подсеть, у узлов своя - у каждого узла своя. dhcp раздается узлом (теоретически dhcp можно пробрасывать с помощью dhcp realy, но при этом заметно страдает надежность - упал туннель - в филиале пропала сеть). Локальный DNS раздается центром, хотя при приличной нагрузке на узле обычно на узел ставят подчиненный сервер, на котором подымают дубли сервисов - dns, ad и прочее - чтобы не бегали юзера за аутентификацией на каждый чих в центр.

Ну, во-первых, строка

net.ipv6.conf.all.disable_ipv6 =3D 1

это либо косяк вставки, либо чушь, ибо "3D" - это код символа "=", а во-вторых правка этого файла ничего не делает :) Это файл настроек для sysctl, он применяется либо при перезагрузке, либо вручную.
Если Вы вручную его не применяли (командой sysctl -p), то в системе ничего не изменилось :) просто уберите нафиг строки, чтобы они не прочитались при следующей загрузке (они скорее всего все равно не применятся из-за синтаксической ошибки)

Если в настройках VPN указано гонять весь трафик через него - да. Но Вы же не настолько едиот, да? В противном случае, в корпоративную сеть попадает только трафик для нее самой.

Первое - это для настройки профиля (закладка Profiles)
Второе - для предложения (закладка Proposals)
SA ... - это тайминги в секундах

С той стороны скорее всего циска, причем видимо не самая новая, раз md5 включили в proposal. Ну или какая-то еще другая не больно новая железка, похоже sha1 - ее максимум

Английским по белому - вторая сторона не отвечает. С какого, кстати уха, Вы ломитесь на порт 22? Обычно IKE слушает порт 500

О, Боже, опять школота, воображающая, будто кто-то будет ломать шифрование, а не его. Какова модель нарушителя? От кого хотите защититься?

Если мама/жена/сосед - любой vpn на своем vps в голландии например даст абсолютно бронебойную защиту с любым современным шифром.
Если работодатель (и на компе работодателя и в рабочее время) - вопрос обычно решается в местной СБ (а там, где ее нет - там всем на все как обычно).
Если государство - не будет там никто заморачиваться вскрытием шифрования - там есть другие способы и они работают очень эффективно.

Есть ли 100% варианты, чтобы канал из Китая был адекватным?

Нет. В битве брони и снаряда пока что поле боя за Великой Стеной :) (Хотя конечно же, сейчас тут могут набижать суперчеловеки у которых везде все работает. Правда, зачастую когда начинаешь выяснять - ну просто чтобы опыт перенять - может оказаться, что "... и не тысячу, а десять тысяч, и не рублей, а долларов, и не в лотерею, а в карты, и не выиграл, а проиграл.")
На самом деле китайцы великие затейники и в деле построения файрволлов и в деле их обхода ;)

Никак.

Только "свой VPN = надежный VPN". И то, при некоторых условиях (хостер запросто сделает образ ВМ так, что ты не заметишь, шифрование не поможет, потому что нет доверенного загрузчика, не поможет даже дедик, собранный тобой и отправленный туда - как только ты теряешь "обратную связь" - возможность визуально проконтролировать сервер - так все, доверие на параноидальном уровне заканчивается)
Разумеется это все именно на параноидальном уровне - в большинстве случаев ты нафиг никому не нужен. Настоящая анонимизация - это сложное, нудное и очень дорогое занятие

Государству - да
Медийной персоне - скорее всего, да
Гражданину со связями - может быть, зависит от мощности связей и желания найти
Бизнесу - зависит от того, сколько он готов на это потратить
Обычному гражданину без связей - нет

Что значит "через определенный домен"? И зачем это Вам, я понимаю, что это защитная мера - защитная от чего, от кого?

и оба корпуса имеют одинаковый белый ip

Хм. Что значит сие?

Я планирую перейти на VPN

Зачем, ну то есть от кого собираетесь шифроваться? Может быть, vpn тут не поможет :)

Я рассчитываю на 10 - 50 рублей в месяц.

Поржал. Нужен ты кому-то очень...

Пока не задана модель нарушителя - вопрос бессмысленен. Если это жена/сосед - этого достаточно, как правило. Если работодатель - смотря где работаете. Если государство - зависит от того, что и когда делаете. Вот сейчас например, скоро 9 мая. Попробуете сейчас загрузить на сайт Бессмертного Полка какие-нибудь "не те" фотки - и быстро узнаете, что найти Вас не помешает ни Tor, ни VPN...

Ну, во-первых тег "обфускация кода" тут ни при чем от слова совсем.
А во-вторых, раз узнали модное слово obfuscator, рекомендую не менее модное shadowsocks :) Он сделан китайцами - великими затейниками в деле обходе блокировок :)