Для тяжелых случаев (nat, firewall, proxy, socks) похоже единственным возможным решением для организации VPN оказывается OpenVPN.
В случае GPRS, если нет услуги "Real IP" (у MTS так зовется), опять таки в полный рост натыкаемся на nat/firewall.

Вопрос в оптимизации настроек OpenVPN, в первую очередь для GPRS.

Для пущей универсальности начал с tcp/https (единственный способ заставить работать через proxy).
Включил tls-auth.
Аутентификация пользователей и по ключам, и по паролям.
DH, чиперы и прочее по умолчанию.
Пришлось увеличивать tls-timeout (стандартной двойки для GPRS не хватает).

Итог не особо радует.
Решение проигрывает по скорости pptp (который MPPE128+MPPC). Сравнивалось на 28к модеме (через GPRS нет возможности проверить pptp).

Переход с tcp на udp с одной стороны должен несколько ускорить работу. Но в теории. Потому как на плохих каналах с большой потерей пакетов (я про GPRS) может статься, что UDP вообще не будет работать. И отказываться от универсального решения не хочется (я про proxy).


Посоветуйте что-нибудь.

miksoftIn comparison with UDP, TCP will usually be somewhat less efficient and less robust when used over unreliable or congested networks.

Или спать пора, или плюс на минус здесь перепутан.
В случае плохих сетей TCP крепче UDP.

Впрочем, обсуждение "UDP or TCP?"
http://sourceforge.net/mailarchive/message.php?msg_id=11135437
заканчивается таки тем, что

It is almost always better to choose UDP.That"s because you"ll be tunnelling application TCP _over_ OpenVPN"sUDP or TCP. And TCP over TCP does not perform very well (except insome very special circumstances) due to the interaction between twolevels of timeout estimation and retransmission algorithms.

Чтож, сделаю конфиг и для UDP.