При выборе VPN стоит учитывать максимальную совместимость со всеми ОС и возможность пушить маршруты на клиента, что бы не заворачивать весь трафик клиента в VPN (торенты например).
По сложности настройки, по убывание (первый - самый сложный)
1. IPsec - ничего не надо устанавливать на клиенте, но сложно настроить, как сервер так и клиента
2. OpenVPN - достаточно просто , отдаем клиенту файл-конфиг который импортируется в программу OpenVPN
3. wireguard - конфиг достаточно простой, из минусов - нужен конфиг для каждого устройства.
4. ZeroTier - проще уже некуда, клиенту просто отдают идентификатор сети и апрувяет его подключение на сервере. Можно использовать офф версию, бесплатного тарифа будет достаточно https://www.zerotier.com. Вопрос только в безопасности, но в организации в которой нет домена об этом пока рано говорить)
.git/config,
> настраивать везде маршрутизацию (а это десятки серверов) - накладно.
ничего накладного если знаешь как автоматизировать
openvpn позволяет пушить маршруты на клиентов, все маршруты можно настроить на одном сервере.
> он со своим адресом 192.168.*.* приходит через туннель на vpn сервер, где маскарадинг подменяет его на адрес vpn сервера внутри сеть 10.133.20.102
Получается, что обратного маршрута нет на самом сервере телефонии для работы без NAT.
В настройках пират разрешено использовать NAT?
> -A POSTROUTING -s 10.8.0.0/24 -o enp1s0 -j MASQUERADE
А че так? У тебя двойной нат? Сначала на роутере клиента потом на VPN сервере?
> Чтобы можно было им позвонить, с их стороны необходимо перезагрузить телефоны.
Хочешь мучасться дальше, уменьши время регистрации с 3600 до 60 секунд на стороне клиента.
Magnoliya, проброс порта через SSH это больше фича чем продакшен решение, ты снова придешь сюда с вопросом как настроить стабильную работу этого решения, а ответа, т.к. SSH не предназначен для такого использования.
У большинства операторов есть готовые инструкции как подключить их номер к АТС.