Вы удивитесь узнав как можно изнутри найти кучу уязвимостей. Где нить хаб или малинку воткнуть и трафик сливать. Или найти вайфай незакрытый и там доступ в сетку наблюдения...
Ну это так, лирика.
Про уверенность что внутри все безопасно :)))

При адекватной настройке сети (именно сети, мы не говорим про телефонию) - вполне себе безопасно. И уж точно впн внутри сети не нужен, как и SIPS + SRTP

VPN требуется для соединения между собой сегментов сети, которые не имеют прямого физического соединения, но имеют подключение к интернет.  И для подключения удалённых пользователей через недоверенные каналы, где может например тупо фильтроваться SIP.

В L2 VPN можно запихнуть и VLAN'ы, т.к. он пропускает тегированные пакеты.

SIPS с SRTP в таком случае лишняя вещь, хватит и простого SIP с RTP

0

А вот не соглашусь. Когда все стали переходить на удалёнку, от абонентов сотнями были жалобы на невозможность подключения к VPN pptp/l2tp. А все дело в маршрутизаторах абонента (длинк, тплинк и т.д.) и по умолчанию отключённой опции Passthrough pptp, l2tp, gre.
Так что и с VPN не все идеально.
К тому же гонять голос по TCP может быть малоприятно.

Нууууу, как бы норм) Мои были довольны. Но, есть одно но. Грандстрим сам имел OpenVPN клиент. Проблема с рутиром отпала сразу. И TCP шикарно работал.

Если телефоны умеют ovpn, тогда нормальное решение. Он и через роутеры нормально проходит.

А чтобы не мешали NAT, нужно всем развивать IPv6.
Вот ваши серверы телефонии поддерживают IPv6?

Все пишут и никто не отправляет))) пойду спать.

НАТ не мешает. ipv6 работает. Правда он не у всех есть в прямом доступе ( например на AWS пока что это ещё сложно )

Но НАТ мешает только тем, кто не понимает как с ним работать. Ну или с кривым оборудованием работает. Но во втором случае сами себе злобные буратины.

К слову, поддержка IPv6 часто сделана "спустя рукава", в софтфонах или аппаратных телефонах (грандстрим, например, может просто перестать регистрироваться, хотя IPv6 доступен.
Переходишь на v4  - и всё отлично и стабильно)

pptp это что-то устаревшее, времён windows 95, был опыт использования лет 20 назад, не отвечает современным требованиям по производительности и безопасности. l2tp от него недалеко ушёл.  Поскольку там PPP, значит неизбежны проблемы с производительностью и задержки.   Поэтому мы его даже не рассматривали.

gre/ipsec часто режут провайдеры, особенно на мобильном интернете.  Пытались поднять, неуспешная попытка соединения.

Что тогда остаётся:

Cisco Anyconnect или Openconnect — быстрый, очень простой в настройке, не имеет проблем с NAT, но не умеет L2 и нет клиента под роутеры.

wireguard — недавно появившийся, ещё сыроватый для полноценного использования в продакшене, быстрый, тоже не умеет L2 , реализован в некоторых новых роутерах.

eoip — умеет L2, есть в микротике и некоторых роутерах на базе линукса, но в дистрибутивах линукса отсутствует, можно собрать из исходников.  Не поддерживает шифрование, для этого надо завернуть во что-то из вышеперечисленных.

openvpn — умеет L2, умеет работать и поверх udp и поверх tcp, можно соединить в один бридж и использовать параллельно.  В микротике реализация была кастрированная (не знаю сделали ли сейчас нормальную), в кинетике и openwrt сразу была полноценная линуксовая.   В клиентах под андройд L2 не поддерживается, только dev tun

Eoip, l2tp - умеют шифрование ipsec.
Pptp и l2tp очень быстрые и есть в любой ОС из коробки

Openvpn работает в userspace и достаточно медленный.

Не все провайдеры его дают.   Хотя у нас он есть в VPN, но используется только как резерв.

Качали файлы через ftp по openvpn, скорость была полная.   Если на сервере проц с аппаратным AES и его поддержка включена в openssl, расходы у openvpn только на ввод-вывод, его вообще не заметно.

провайдер зарезал ipsec и придётся вместо него использовать что-то другое,  потому что жаловаться можно хоть в спортлото, от этого ipsec работать не начнёт

Если не ошибаюсь, в этих туннелях шифрование идёт внутри туннеля, т.е. провайдер уже не повлияет.

Ну а плохой провайдер может зарезать все, что угодно.
Ёта режет всё, что не может идентифицировать либо считает за VPN и торренты. Скорость очень падает.
Нет одного стабильного и полностью рабочего решения для всех случаев.
И даже настроенный роутер + телефон - это гирлянда устройств и проводов, которые пользователь может и будет втыкать не так, как нужно, даже если провода подписаны и имеют разные цвета.

Поэтому я не оспариваю ваши решения или Юрия или ещё кого-то.
У нас в компании использовали такие крутые файрволлы, vds, Palo Alto SSL Vpn (забыл название) за мешок денег, но и это иногда не работало, отваливались соединения, не подключалось у кого-то, да и заморочек с авторизацией на портале было не мало.

Снаружи.

IPsec предоставляет шифрованную обёртку для других протоколов, туннельных и не только.  Есть режим обхода NAT в котором он работает поверх udp.

В этом смысле, использование eoip через ipsec аналогично gre, только вместо пакетов gre идут пакеты eoip в которые инкапсулируются ethernet-фреймы.  Для этого должен быть открыт IP протокол 47 который режут некоторые провайдеры.

А так-то eoip можно завернуть в любой другой VPN, который работает в режиме точка-точка.