I OpenVPN nemusí používat certifikáty OpenSSL, stačí je vygenerovat nečím jiným, neř pomocí openssl knihovny. :-) Asi se plete víc věcí dohromady.
Ten poslendí útok na TLS tunel se týká DH výměny, která se provádí vždy, certifiát se použije až potom pro ověření server strany, že nedochází k aktivnímu MITM útoku. Takže vypnutím cetrtifikátů na straně serveru u SSTP situaci jen zhorším a útočníkovi výrazně zjednoduším. Daný DH problém je odstraněn v ROS6.29.
Jak bylo zmíněno, OpenVPN má na RBčku problém s TCPinTCP, protože je podporován jen TCP transport. Úplně stejný problém má i SSTP. L2TP, PPTP, IPsec tímto netrpí. Nicméně problém L2TP a PPTP je, to jsou dávno zlomené protokoly, kde když dodáte pár prvních zachycených paketů, tak dešifrovací klíč vám dneska specializované služby dodají v řádu několika minut za 20 USD poplatek a na nic se neptají - zkrátka neodolávají ani pasivnímu odposledu. Proto se také normálně L2TP balí do IPsec transportu.
Ohlendě průchodu NATem je na otm SSTP a OpenVPN podobně. Blbě PPTP a IPsec. L2TP holý bez problémů prochází (L2TP/IPsec mívá někdy větší problémy, než holý IPsec tunel, pkkud NAT s epokusí o nějakou IPsec helper inteligenci).
Co se týká Androidu, tak jsem si všiml, že je přítomen v základu i ve starších L2TP/IPsec klient (a PPTP, ale ten bych ignoroval), takže bych použil ten. Pro novější je i oficiální OpenVPN (Androind4.0 a výše, na starších jede pokud jsou rootnuté), takže také možnost.
Pro mobiláře provozujeme hlavně L2TP/IPsec se sdíleným heslem pro IPsec vrstvu (Mobily moc nepodporují v tomto certifikáty) a pak SSTP, který umí hlavně mobilní wokna, pokud je jako VPN server Mikrotik. Problém je jen s Blackberry 10 platformou, která jede IPsec IKEv2, což snad bude v ROS7, tam je nyní proti Milrotiku problém.
