Немного про VPN

 Сейчас для многих весьма остро стоит вопрос с доступом к ряду ресурсов, и приходится покупать/поднимать впн.

Мне больше всего импонирует SSTP - штатно умеют все основные операционки, но с мобилами вопрос.

Можно взять openvpn - но настройка через консоль отпугивает многих, а openvpn-ce платный от 3+ коннектов. Правда, нашлась админка от Flant - https://github.com/flant/ovpn-admin/

Ещё вариант - WireGuard

Пошаговая инструкция по настройке Wireguard VPN + DNSCrypt + DNS server (Unbound) + Pihole

Всякие pptp, l2tp, ipsec (ike) не рассматриваем - их очень легко обнаружить и заблокировать, верх "удобства" - gre.

Private subnet + openvpn в амазоне

Первое что нужно помнить - для уже созданной машины нельзя менять subnet, обходной путь через создание образа и раскатывание нового инстанса.

2 доки, с которыми стоит заранее ознакомиться
https://aws.amazon.com/ru/blogs/awsmarketplace/setting-up-openvpn-access-server-in-amazon-vpc/
https://www.freecodecamp.org/news/how-you-can-use-openvpn-to-safely-access-private-aws-resources-f904cd24f890/

Вкратце, можно взять уже готовый образ с openvpn AS (access server) и платить потом за его использование, а можно развернуть ось и поставить туда пакет с openvpn as. При втором подходе будет ограничение на 2 одновременных коннекта.

Сама установка (для centos):
wget http://swupdate.openvpn.org/as/openvpn-as-2.5.2-CentOS7.x86_64.rpm
yum install -y openvpn-as-2.5.2-CentOS7.x86_64.rpm

Увы, там нет про создание private subnet, может быть позднее сделаю.

openvpn: виды соединений

[черновик]

Варианты, которые могут быть:
1) комп-комп
2) комп-сеть
3) сеть-комп
4) сеть-сеть

TAP симулирует Ethernet устройство и работает на канальном уровне модели OSI, оперируя кадрами Ethernet. TUN (сетевой туннель) работает на сетевом уровне модели OSI, оперируя IP пакетами.
TAP используется для создания сетевого моста, тогда как TUN для маршрутизации.
wiki

Возможно создать Layer 3-based IP туннель, называемый TUN, и Layer 2-based Ethernet — TAP, способный передавать Ethernet трафик.

В принципе, все варианты можно реализовать на обоих видах, но с некоторыми оговорками. Например, мультикасты и броадкасты по L3 сами по себе не побегут.

Также есть отличия в настройке для linux, *bsd, windows.

[дальше варианты настроек]
1.1 Комп-комп, TUN
1.2 Комп-комп, TAP
2.1 Комп-сеть, TUN
2.2 Комп-сеть, TAP
3.1 Сеть-комп, TUN
3.2 Сеть-комп, TAP
4.1 Сеть-сеть, TUN
4.2 Сеть-сеть, TAP


Ссылки
http://openvpn.net/index.php/open-source/documentation/howto.html
http://ru.wikipedia.org/wiki/OpenVPN
http://ru.wikipedia.org/wiki/TUN/TAP
http://www.lissyara.su/doc/man/safety/openvpn/
http://www.anfes.ru/e107_plugins/content/content.php?content.6
http://tuxnotes.ru/articles.php?a_id=26

openvpn в centos
http://wolandblog.com/1103-ustanovka-i-nastrojka-openvpn-na-centos-5-3/