open VPN connection programmatically ( Java ?)

[Сабина]

Я первый раз сталкиваюсь с необходимостью VPN для доступа к эндпойнту

.

Этого добра хоть завались. Например некоторые VoIP сети так устроены. Но я подозреваю, что все клиенты для таких случаев просто дергают ОС на тему _создай мне VPN_ (чаще голимый IPSEC что еще хуже) а не изобретают его сами. Хотя с IPSEC полная труба и я там ничему не удивлюсь, в том числе и перехвату сокетов и собственным поделкам приложения. Но это все таки неправильно, правильно или использовать системный или уж использовать https + что там душе угодно для аутентификации.

Имелся в виду rest service endpoint. ipsec - это что-то из серии private cloud, не слышала что его громоздят для несчастного эндпоинта.
а с секьюрити тут и правда странно как то. Второй день на маке высыпают мессаджи от Симантека "arp cache attack" bla bla. написала в суппорт - а в ответ тишина

[StrangerR]

ARP атака - это скорее всего свихнувшийся семантек реагирует на забытый нет админами прокси арп.

У меня с этим весело - мы выключаем проверку дуплицированных IP для статически сконфигуренных машин на всех виндах начиная с версии Win7 / Win2K8R2 сервер, так как она гарантированно приводит к потере IP на каком нибудь перевызове. Циськи и прочие агрегаты имеют привычку помнить старый ARP и отвечать прокси арпой, причем в ряде случаев (DMZ на которое есть static NAT в его сторону) это вообще неотключаемо. Что забавно, рядом стоящие линуксы прекрасно проверяют дупликацию IP и при этом им никак этот proxy arp не мешает.

[StrangerR]

С одной стороны, VPN - это сетевой интерфейс, стало быть, его создаёт ядро. С другой стороны, уважающие себя ядра не пускают на своё пространство ничего чужого, дабы не паниковать. Для решения противоречия такие ядра имеют tun- интерфейс. Со стороны - как полноценный сетевой, типа eth. Но внутри - реализован процессом, а не ядром. Стабильность, но за счёт производительности, поскольку каждый пакетик по нескольку раз копируется между ядерным и пользовательским пространствами.

Это все правильно. Но нужно понимать что обслуживает эта штука именно tcp/ip стек - фичу операционки и ядра, а не свойство сессии или тем паче процесса. То есть туда пойдут ВСЕ пакеты от ЛЮБОЙ сессии и любого процесса или пользователя (мы не берем случаи виртуалок внутри данной ОС).

Понятно что там процесс а не драйвер ядра, так как там куча возни с криптованием которой ну явно не место в ядре.