Ziptar

Какую технологию туннеля/аутентификации выбрать?

НЕ pptp

Какой софт использовать для VPN сервера? Желательно:
- не дырявый из коробки
- с настройкой через вебинтерфейс
- на Дебиане (не обязательно)

softether, вебморды нет, но есть софт с гуём для удалённого администрирования; на счёт дырявости - проприетарщина всегда чёрный ящик, но это, насколько мне известно, единственное решение под никсы с гуём. Если без гуя - таки openvpn, но он без собственного клиента не работает, в отличие он нескольких вариантов, поддерживаемых softether (sstp, ipsec/l2tp, ipsec/ike)

В свойствах подключения в панели управления вкладка "Общие", снять галку "сначала набрать номер для этого подключения".

На клиентах нужно так или иначе прописывать маршрут к ресурсам сети через vpn.

Как пример:
Ресурсы удалённой сети лежат в подсети 192.168.0.0/24
Конечная точка vpn со стороны сервера у вас имеет адрес 192.168.1.1
Конечная точка vpn со стороны клиента у вас имеет дрес вида 192.168.1.x/32
Вам нужно так или иначе показать клиенту маршрут к 192.168.0.0/24 через 192.168.1.1. Учтите, что если у клиента домашняя подстеть так же 192.168.0.0/24 - так или иначе будут проблемы, даже если частично что-то будет работать.

1. Не употреблять слово "мост" в данном контексте.
2. Разобраться с маршрутизацией на малине.

Отдельная подсеть для виртуальной wlan, policy base routing по src-addr

Если я правильно понял, то требуется только digital signature. Проверим.

Для RDP подключений стоит выбирать те виды vpn, которые умеют работать через udp. Для микротов это ipsec / ikev2.

Настраиваете vpn-сервер, назначаете диапазон адресов для vpn-клиентов, далее рулите доступом через фаервол опираясь на этот диапазон и "all ppp" в качестве интерфейса; никакой проброс портов не нужен.
С маршрутизацией роутер сам разрулит, ситуация, судя по всему, простейшая. Единственное что - надо запретить vpn-клиентам ходить в интернет через ваш основной канал; и на клиентах отключить использование vpn-поключение в качестве шлюза, если речь идёт о win-клиентах.

Касательно того, что лучше: pptp небезопасен, равно как и l2tp без ipsec, ipsec сложен для новичков, openvpn в реализации тика неудобен и тоже сложен для новичков; самый простой и надёжный вариант для win-клиентов - sstp. В последнем случае вся "сложность" заключается в генерации самоподписанного сертификата для сервера и добавление его в доверенные на клиентах; ну или если есть свой домен - просто выписать сертификат через let's encrypt.

Ясно-понятно.

1) CN сертификата сервера должно равняться его fqdn, или же ip
но это ладно.
2) Не знаю как в "родном" ovpn, но в микротиковской реализации овпн сервера есть 2 варианта подключения:
a. логин-пароль
b. сертификат И логин-пароль
вариант с только сертификатом отсутствует.

UPD: crl host задаётся жёстко ip-адресом, только винбокс об этом ни слова не говорит, и если указать fqdn - спокойно создаёт самоподписанный CA без crl. ><
deleted(ибо я лапоть и всё враки): И ладно, я был бы только рад, но в ROS клиентский сертификат невозможно привязать к пользователю + ROS'овский PKI не поддерживает автоматическое создание crl, не говоря уже об отсутствии места хранения этого crl для массового пользователя.
Что делает поддержку клиентских сертификатов, так скажем, менее полезной, чем хотелось бы, а смысл от клиентских сертификатов для каждого юзера вообще сводит к нулю.

Этот конфиг, во всяком случае, для домашнего использования, посмотрим как это будет в рабочей обстановке с WinSrv PKI и радиус-аутентификацией; но... позже.