CityCat4

янв 24 16:43:22 guacamole ovpn-server[2512]: Options error: Unrecognized option or missing parameter(s) in /etc/openvpn/se...2.3.4)

Английским по белому написано в чем проблема

Против лома - как известно нет приема. Если клиент настолько дорог - найти IP где угодно, который не заблокирован, поднять там какой-нибудь дополнительный VPN на любом порту. Но блокирование по геолокации - вещь очень жесткая и обойти ее крайне сложно, разве только к спутнику подключаться, но это, насколько я знаю, ооооооочень дорого...

На ключи и прайм - root:root 0600, на сертификаты root:root 0644

Читать про режим бампинга в squid, который собственно говоря этим и занимается - врезается в соединение между клиентом и сервером, чтобы узнать, куда на самом деле пошел клиент.

В винде обычно в таких случаях советуют убрать галочку "делать VPN маршрутом по умолчанию" - и все начинает работать.

Можно.

Есть аж два варианта, один требует более прямых рук, другой - денег.
- установить и настроить на компе VPN, по которому он будет цепляться к другому компу - и ходить через него
- купить у провайдера "белый" IP. ВНИМАНИЕ! Не статический IP, а именно "белый" - потому что хитро#опый оператор может Вам продать постоянный серый IP :D

OMG, когда уже начнем писать вопросы с модели нарушителя? Самому провайдеру Ваше подключение вот до такущего фонаря - хоть десять VPN в цепочку выстраивайте. Начинать надо с того, от кого (чего) Вы защищаетесь. Одно дело, когда Вы на работе порнушку хотите посмотреть (и тогда Ваш нарушитель - админ конторы, ну и СБ, если есть), другое - если хотите влезть в политоту (и тогда Ваш нарушитель - государство). Нужно ли обьяснять, что у них немножко разные возможности? Государство, увидев непонятный прокси с SOCKS, не будет разбираться, что там за прокси само - оно придет к Вам...и Вы сами все расскажете.

Вот тут хорошо написано

Мониторинг трафика IPSec делается не через устройства типа ipsec0 - это немножко вчерашний день :) Когда-то они были, да.
Вам нужно найти схему прохождения пакетов через iptables - полную, включающую xfrm encode и xfrm decode - урл не дам, но вот передо мной лежит печатный вариант под названием "Packet flow in Netfilter". И тогда все становится на свои места. xfrm encode - шифрование пакета, xfrm decode - соответственно расшифровка. xfrm lookup - проверка, подходит ли пакет под политики IPSec.

Под Ваши задачи как раз идет strongswan - на iOS взлетит встроенный, на андроиде есть клиент strongswan (встроенный - отстой), на винде нужно пробовать ShrewSoft. На сайте strongswan зиллион примеров конфигов под все мыслимые случаи и под роадварриор тоже есть.

Решений, кроме как на IPSec и на OpenVPN, Вы вряд ли найдете. На самом деле с роутингом IPSec все не так уж и сложно - достаточно сделать один филиал, остальные клепаются по шаблону, разве только с роадварриорами могут быть вопросы - я-то как раз пробовал железячное решение на микротике и пока отложил в связи с тем, что не было у микротика поддержки IKEv2 - появилась только недавно.

Я обычно использую такую схему - (обьект)_(роль)_(выдавший CA). Обьект - это либо логин для юзера, либо hostname без доменной части для сервера. Роль - либо client, либо server. Выдавший CA - короткое наименование СA, выдавшего сертификат. Раньше для серверов использовал только (hostname), но в этом случае реально возникает путаница.

Мне кажется лучше всего будет просто IPSec. А кому куда ходить - это разруливается правилами файрволла. Работать по схеме "звезда" будет при любом количестве офисов (на FreeBSD у меня работало с двумя десятками), только политики нужно разруливать вручную и IP-адресацию сразу планировать на всю предполагаемую сеть.