> У нас тут в тяжелые времена пандемии s2s не особо интересен.Странно, а тут никуда не делся.
> Тут тыщщи роадварриоров ломятся на удаленку,
и кто ж разрешил их от станка отковывать, ишь, тыщи их... арбайтн, нигга, нам похрен что ты сдохнешь от заразы!
> 99.9% из-за NATа. Айписексом с ними заниматься это для сильных духом админов.
Я знаю только два массово используемых в крупных корпорациях решения - разнообразные вендорские реализации ipsec с терминацией на большом таком железном фиревалле (что stonesoft, что ныне модный fortinet, что anyconnect - это ipsec+xauth+пара вендорских костылей чтоб васян с линуксом не подлез в обход положонного клиента. Ну, оно, конечно, умеет udp-fallback или изначально на нем, но это вполне себе ipsec) - но это не для каких-то там мильеновтыщ, а для максимум первой тыщи. Потому что лопнет.
И выставление наружу horizon/citrix vdi/и, внезапно, даже старый добрый tsgateway. Эти решения масштабируются и до десятков тысяч (кроме, понятно, последнего, серверы не резиновые). И вполне себе сами по себе обеспечивают безопасность соединения. Бонусом - отсутствие на твоем компьютере чего бы то ни было кроме клиента. Даже клипборду не скопируешь вовне vdiшечки.
А открывать тебе доступ на уровне сети - ну его нах. Неизвестно, что туда вместе с тобой придет.
> Wireguard был бы тут хорош,
ничем он тут не хорош, это server2server, с полным доверием и не полным рукожопом на другом конце.
Писал же чувак, витающий в университетских облачках, а не раб с галеры.