По поводу аргумента, что есть ipsec. Реальная ситуация такова, что ipsec далеко не везде получается использовать. Однажды рано утром я проснулся. Мне в голову ударило. Свежая мысль, естественно. Решил я сделать всё правильно, и в одной крупной компании сделать туннели в центральный офис из примерно 100 филиалов с помощью ipsec и x509 сертификатов. Заодно и ключевым сотрудникам выдать сертификаты и разрешить из дома подключаться к корпоративной сети. Даже начали покупать недорогие маршрутизаторы с поддержкой ipsec. Но тут начинаются суровые будни.
Проблем нет:
1. Офисы в бизнес-центрах, где дорогой и качественный интернет.
2. Москва, квартиры с крупными провайдерами.
3. Регионы, культурные провайдеры.
В остальных местах начинается такой зоопарк, что мало не покажется. Есть предприятия в чистом поле, которым интернет дают по WiMAX соседние предприятия. Есть договорённости с физ лицами, что те, через радио-реле из своей квартиры транслируют интернет. Есть провайдеры, наверное, с очень хорошими фотографами, но с плохими администраторами. Есть point-to-point xDSL с кривыми модемами. У всех у них категорическая проблема с ipsec.
Выражается она, в основном, в неправильной настройке mtu (когда используются всякие туннели внутри туннелей и все это поверх туннеля), в блокировке icmp трафика, из-за которой невозможно pmtu, в настройки слишком маленького значения mtu (якобы для производительности) в результате которого не помещается сертификат x509 в один пакет и не устанавливается соединение.
Короче. Примерно в 30%-40% случаев за МКАД ipsec туннель нам запустить не удалось. Сначала мы аккуратно разговаривали с провайдерами и выполняющими их функции всякими лицами. В некоторых случаях удалось убеждать. Было даже "вот тебе клавиатура, садись, настрой наше оборудование как тебе надо". Затем в очередной раз, когда не было связи из филиала в центральный офис, получили по шее от руководства. Начали делать типовую конфигурацию l2tp поверх ipsec, где нет ipsec тупо его отрубали и оставался хотя бы не криптованный туннель. Потом нашлись провайдеры, которые умудрялись l2tp пакеты присылать в разном порядке, туннель постоянно падал. На такие точки, перекрестясь, прося прощения в демонических и пингвиньих богов, поднимали PPTP. Где-то находились клиенты, которые не поддерживают шифрование MPE, убирали шифрование везде. В результате на сервере был поднят ipsec, l2tp-сервер, pptp сервер.
Это совершенно не укладывалось в спокойную жизнь порядочного системного администратора, который всё настроил и спит спокойно. Мы поставили openvpn. Причём через TCP. Я начал высыпаться. Обнаружил, что на улице есть времена года. Трава весной, оказывается не такая зелёная, как осенью. А (sic!) в пищи есть вкус и её можно есть просто за столом болтая с кем-нибудь и ничего при этом не делая и не пялясь в монитор.
Вот не надо мне рассказывать, что ipsec спасёт человечество. Может быть потом, но не скоро. OpenVPN очень нужен. Entware-keenetic поставил себе из-за него. Ну и теперь просто приятно делать ssh на роутер и чувствовать себя хозяином
