Я видел несколько writeups вокруг обсуждения конфигурации сервера VPN. Во всех них на разных уровнях туннеля используются 2 или 3 предварительных общих ключа / пароля - один для IPSec, один для L2TP, один для PPP.
Это кажется глупым. Я всегда придерживался мнения, зачем использовать (относительно) крошечный, небезопасный пароль, если вы можете использовать программный токен произвольной длины?
В лучшем случае, однако, я видел предложение использовать racoon
для обработки аутентификации на основе сертификатов на уровне IPSec. Это все еще оставляет 2 других слоя для беспокойства. Могу ли я сделать лучше? Если нет, было бы возможно / надежно опустить PSK на 2 из 3 уровней и при этом ограничить использование только авторизованными учетными записями?
Я специально ищу что-то, что хорошо работает кроссплатформенно, с мобильными и настольными клиентами. Я также больше озабочен маскировкой IP, чем безопасностью, поэтому "лучшее" шифрование не имеет значения.