Коротко — для домашней «сети между двумя квартирами» сейчас предпочтительны WireGuard и OpenVPN/SoftEther. L2TP/IPsec всё ещё работает, но у него есть нюансы и он менее надёжен при современных NAT/блокировках, поэтому я бы не выбрал его в приоритете.
Ниже — подробности по протоколам и практические рекомендации.
1) WireGuard
- Плюсы: очень быстр, простой конфиг и ключи, малое потребление CPU, хорошо поддерживается современными прошивками (OpenWrt, AsusWRT‑Merlin, pfSense/OPNsense и т. п.).
- Минусы: стандартный WireGuard использует UDP (обычно порт 51820). Это легко блокируется по портам, и есть вероятность блокировки UDP/входящих соединений в жёстких сетях. Нет «из коробки» режима TCP-over-443.
- Как работает в вашей задаче: отличен для site‑to‑site (роутер↔роутер) — настройте сервер на стороне со статическим IP, клиент в другой квартире с PersistentKeepalive. Рекомендуется поставить нестандартный порт (например, UDP 443 или 8443) если провайдер блокирует стандартный, но UDP 443 всё равно может быть заметен DPI.
2) OpenVPN
- Плюсы: гибкий, хорошо защищённый (TLS), можно запускать по UDP или TCP. Вариант OpenVPN over TCP 443 даёт максимальную вероятность прохода через фаерволы — выглядит как HTTPS.
- Минусы: чуть более медленный и ресурсоёмкий, сложнее конфиг, latency при TCP‑over‑TCP.
- Как работает в вашей задаче: если хотите надёжность прохода трафика через строгие NAT/фильтры — OpenVPN TCP 443 — хороший выбор. На роутере обычно поддерживается.
3) SoftEther / SSTP
- SoftEther — многофункциональный SSL‑VPN, умеет эмулировать HTTPS (TCP 443) и OpenVPN, хорош при блокировках (много маскировок).
- SSTP (MS) использует TCP 443 и выглядит как HTTPS на уровне транспорта (хорошо для Windows-клиентов), но поддержка на роутерах и других ОС хуже.
- Рекомендую SoftEther если предполагаете жёсткие фильтры и готовы ставить сервер на ПК/VM.
4) IPsec (IKEv2) и L2TP/IPsec
- IKEv2/IPsec: современный, быстрый и защищённый, часто используется на мобильных устройствах. Но использует UDP 500/4500 и ESP (протокол 50) — некоторые сети/провайдеры блокируют ESP или порт 500/4500.
- L2TP/IPsec: устаревший, сложный при NAT, уязвим без защиты. Нельзя рекомендовать как основной вариант.
- Будет ли блокироваться? Часто — нет, в обычных домашних сетях и у большинства провайдеров L2TP/IPsec и IKEv2 работают. Но если провайдер или CGNAT/корпоративный NAT блокирует ESP или закрывает UDP, то могут быть проблемы. Мобильные сети чаще блокируют ESP.
5) PPTP — не рекомендую (критически устарелый и небезопасный).
6) Tailscale / ZeroTier / Nebula (VPN‑сервисы/overlay)
- Это не «классические» site‑to‑site, но создают надсеть между устройствами без необходимости открывать порты и прекрасно работают через NAT/CGNAT (используют NAT‑Traversal и реле при необходимости).
- Очень простой вариант для соединения компьютеров и NAS (особенно если не хочется настраивать проброс/статический IP). Tailscale использует WireGuard под капотом и удобен для доступа по имени.
- Минусы: вы зависите от управляющей/релейной инфраструктуры провайдера сервиса (но Tailscale/ZeroTier предлагают бесплатный уровень и надёжную работу).
Рекомендации для вашей задачи (две квартиры, одна со статическим IP)
- Если хотите «чистый» site‑to‑site на роутерах и минимальные задержки: WireGuard на роутерах. Сервер — на стороне со статическим IP. На клиентской стороне включите PersistentKeepalive (например 25 с), чтобы обходить NAT. Проверьте, что порты UDP разрешены/проброшены.
- Если есть риск портов/UDP будут блокировать или хотите «надежно пройти» через любые фаерволы: OpenVPN (TCP 443) или SoftEther на стороне со статическим IP.
- Если не хотите мучиться с пробросом портов и/или одна сторона за CGNAT: используйте Tailscale/ZeroTier — быстро настраивается, автоматически соединяет устройства и даёт доступ к NAS и RDP.
- L2TP/IPsec: можно использовать, но при прочих равных вариантах лучше выбрать WireGuard или OpenVPN. L2TP/IPsec чувствителен к NAT/ESP и менее гибок.
Практические моменты и чек‑лист
- Подумайте о неизбыточности: убедитесь, что сети имеют разные подсети (например 192.168.1.0/24 и 192.168.2.0/24).
- На роутерах — настроить маршрутизацию (site‑to‑site: маршруты на оба LAN, без NAT между ними).
- На стороне со статическим IP: проброс портов/файрвол для соответствующих портов (WireGuard UDP, OpenVPN TCP/UDP, IPSec UDP 500/4500 + ESP).
- Если клиент за NAT — используйте PersistentKeepalive (WireGuard) или keepalive в OpenVPN.
- Шифрование/ключи: у WireGuard — ключи, у OpenVPN — сертификаты + TLS. Используйте современные параметры и обновляйте прошивку роутеров.
- Тестирование: сначала настроить доступ пинг/RDP по внутреннему IP из обоих концов, проверить скорость и маршруты.
Вывод
- Лучший общий выбор для роутерного site‑to‑site: WireGuard (быстро и просто).
- Если боитесь блокировок/фильтрации — OpenVPN по TCP 443 или SoftEther.
- Если хотите простую настройку без проброса портов/CGNAT‑проблем — Tailscale/ZeroTier.
Если скажете, какие роутеры/прошивки у вас и у родителей, и хотите ли полностью роутерное решение (без ПК/серверов), могу предложить конкретную конфигурацию (порты, маршруты, пример команд/настроек).