Пусть, вообразим и допустим, все компьютеры оказываются в общей локальной сети, где одна сеть 172.27.0.0/12 по топологии "звезда", и состоит она из шлюзов филиалов, в центре шлюз "центра" и свитч, на концах лучей филиалы. К каждому шлюзу подключена или одна локальная сеть "центра" или каждого филиала, каждая локалка, например, 10.0.n.0/24, где n номер филиала. На каждый шлюз по одной локалке. Все шлюзы соединены с центром напрямую патчкордом. В каждом шлюзе есть ещё третья сетевая плата, через которую есть выход в интернет, но для топологии VPN эта сетевая карта отдельная и можно временно забыть про неё.
Следствие - каждый комп на предприятии имеет уникальный для предприятия IP адрес. Хотя можно устроить NAT, но ИМХО это только если уже раньше было сделано, что в разных филиалах одинаковые адреса в локалке, а переделывать нет возможности и т.п.
Появляется возможность филиалы выпускать в интернет через шлюз в центре.
OpenVPN позволяет реализовать это. Она создаёт виртуальный, программный сетевой интерфейс. Формально получается, что когда запущен канал, то центр и филиал напрямую соединены через виртуальный патчкорд "подключённый" к виртуальным интерфейсам OpenVPN. Этакий "прямой" провод. При этом эти виртуальные интерфейсы все находятся в одной подсети, эта подсеть не пересекается с адресами локальных сетей филиалов и центра. Попутно получается, что всё необходимое для защиты от прослушивания этого патчкорда находится только на шлюзах. Все комп-ы предприятия могут обращаться друг к другу по IP адресам их локальных сетей, не нужен NAT внутри сетей предприятия.
Маршруты OpenVPN создаёт сама, берёт их из конфигураций. Можно сделать, что эта часть конфигураций берётся с центрального сервера, для каждого филиала своя. Есть адаптивное сжатие трафика. Вообще, много у неё разных опций и фич.
Прочие и технические детали тут:
*) Настройка OpenVPN с использованием сертификатов X.509
http://www.sergeysl.ru/freebsd-openvpn-x509/*) Назначение статических IP-адресов клиентам OpenVPN
http://www.sergeysl.ru/freebsd-openvpn-client-static-ip/Если из статьи убрать вопросы инсталяции софта и вопросы настройки фаервола, то она без изменений применима так же и к другим ОС.
Кухню с X.509 ключами имеет смысл автоматизировать скриптом. Можно сделать ключи зашифрованные паролем, но тогда перезапуск сервера требует ввода пароля во время чтения ключа при старте канала.
Можно на все филиалы сделать единый HMAC ключ, т.е. защищать только средствами OpenVPN, без TLS, в принципе можно.
Я режу ICMP вообще весь, и должна не срабатывать авто-регулировка MTU. Возможно из-за этого не получается запустить связь на скорости близкой к полной скорости по тарифу провайдера, скорость болтается на низком уровне 60Кб/сек. У других людей этой проблемы нет. В планах разобраться, разрешить ICMP, но получившийся "шейпер"
полезен в моём случае...
Засекал отключения VPN, демон завершает работу со ссылками на определённые ошибки. Забыл какие, можно попробовать поднять по логам. Сделал контроль того, что демон запущен: по расписанию, раз в минуту
[ -z "$( ps aux | grep -v grep | grep /path/name.ovpn )" ] && echo "$( date ) channel failed." >> /path/name.ovpn.log && /usr/sbin/openvpn --config /path/name.ovpn
Случалось редко, раз в месяц и реже. В эксплуатации беспокойство не вызывало.
Кроме этой пары, других проблем не заметил. Других технологий не использовал.
P.S. Не знаю что есть на практике ebox-platform, не внедрял.