Здравствуйте, aik, Вы писали:

aik>а ты родственникам как именно vpn клиентов устанавливаешь? в идеале нужно что то простое как палка: качнул, даблклик, готово.

Я прямо в раутере, tinc. Это L2 сетевой уровень. Все раутеры с tinc соединяются с VPS, по исходящему соединению, router -> VPS. Таким образом, в домашнем раутере не нужно ни точки входа, ни белого IP. Работает и за провайдерким NAT

Далее, на раутере (и VPS) запущен FRR с BGP. Хотя раньше использовал OSPF. Он обеспечивает то, что все пути (под раутером и на VPS) распространяются повсюду внутри домашнх сетей

Дальше, на публичном DNS прописал NS Record. К примеру раньше,

NS <Private IP раутера — Mосква> mos.mydomain.com

NS <Private IP раутера — Канада> lon.mydomain.com

Так, если родственник зарегистрировался в Москве в WiFi с ID "iphone", этот айфон доступен в Канаде по iphone.mos.mydomain.com безо всяких телодвижений. DHCP раутера публикует запись в DNS

Да, по умолчанию DNS работает в полном рекурсивном режиме. Не используя ни DNS провайдера, ни публичные. DNS запрос идет самым правильным способом, начиная с TLD (root) и собирая запрос по DNS серверам. Это самый правильный режим, с точки зрения приватности и надежности. Да и запросы в частную сеть не покидают периметр VPN. Через внешние сервера приватные записи резолвится не будут