Ну, в итоге — да

ДА!

О, нет

Ты где-то на середине

Это еще не конец, это очередная загадка

Это точно не то, что нужно

Да, можно и Ansible, ну или в нашем случае корпоративный стандарт — chef. Но сервис клиентский, и клиенту удобнее вэбка.

А это для всех вновь созданных и для всех во время загрузки. А на ходу у текущих интерфейсов не сменит.

Не совсем так. В sysctl.conf нужно прописать для всех устройств, в том числе для тех, которые не существуют во время загрузки (например, различные VPN). А скрипт позволяет сделать динамически эту штуку.

В этой схеме у нас нет публикации сервисов в нат. Максимум что-то похожее — это балансировка бэкендов nginx-ом, там просто 2 А-записи.

PI нет.

Это хорошие новости. Потому что мы его в своих проектах выключаем. Нет, reuse не требует какого-то специального механизма работы с сокетами.

Классно, как сошлись мысли. Я написал об аналогичном опыте, но в траблшутинге сетевых проблем habrahabr.ru/company/flant/blog/343348

Тут вы правы, у нас есть немного более расширенный интерфейс сейчас, который автоматом создает клиентский ovpn, и отзыв там проще. Но мысль с вэб-интерфейсом здравая.

Softether был одним из вариантов. Но в инфраструктуре клиента уже был tinc и было не важно, tinc+OpenVPN или tinc+softether.
Вторая проблема — процесс конфигурации, который сложно автоматизировать.
Третья, самая большая проблема: все вынесено в userspace, включая nat. softether — это решение само в себе, без интеграции в систему. Оно плохо управляется стандартными средствами администрирования. Поэтому мы его исключили при выборе.

gcm решает?

tinc позволяет легко строить full-mesh vpn, OpenVPN гораздо хуже с этим справляется

спасибо

А где посмотреть подробности?

Там Ethernet инкапсулируется в TCP (как в статье) или UDP и эта опция указывает МТU для инкапсулированного кадра.