Други, поясните по-схеме доступа к 1С серверу для небольшой организации.
Есть 1с сервер, centos+postres, филиалы имеют доступ к нему на уровне частной сети организованной на роутерах, постоянные туннели (site to site) между маршрутизаторами и внутренняя сетка типа 172.x.x.x/8. Клиенты на "тонких".

Теперь обстоятельства складываются так, что эту 1с машинку надо бы вывести либо в дата-центр, либо развернуть базу на новой, может на VPS с хорошими параметрами, может на "дедике" выделенном, но суть сейчас не в этом, главное придумать как правильно и по-уму будет клиентами на него заходить, если отказаться от site to site туннелей на уровне маршрутизаторов.

Просто размещать базу на веб-сервере и открывать к ней доступ публичный вроде все говорят что плохо.
Терминальный сервер поднимать совсем желания нет.

Тогда как надо? Поднимать на этой же машине какой-нибудь типа OpenVPN и обеспечивать к нему доступ client to site, каждый клиент будет отдельно устанавливать соединение, авторизоваться и подключаться к 1с серверу, так работают?
Может есть какие-то взрослые решения? Может как-то можно сильно обезопасить доступ к 1С на веб-сервер или без VPN опасно будет? Если нужны коннекты клиентов по VPN, то какой VPN на сервере предпочесть?
Вот хотелось бы у старших, умных людей узнать как правильно, надеюсь укажите правильный путь, всем спасибушки!

"Поднимать на этой же машине какой-нибудь типа OpenVPN и обеспечивать к нему доступ client to site, каждый клиент будет отдельно устанавливать соединение"

Только клиентом может быть не обязательно один комп, но и вся сеть филиала. Собственно, тут вся сложность только в маршрутизации, нужно правильно структуру виртуальной сети спроектировать, чтобы не было конфликта адресов и подсетей, и соответственно на роутерах прописать нужные маршруты.

или вообще убрать впн, и ограничиться веб сервером с https и 2-х факторной аутентификацией (можно даже доменной)

(2) И сидеть бояться, что в апаче очередная незакрытая уязвимость, через которую хакеры взломали твою базу. Нафиг. VPN хотя бы позволяет локализовать фактор безопасности до размеров своей виртуальной сети.

+(3) Согласен.
(0) В чем проблема дальше использовать VPN?

(4) Дальше и планировалось использовать, только на более верхнем уровне, на нижнем, уровне железки-роутера не везде получается так как хочется, где-то вообще образно говоря "клиенты на открытых полях, вольных хлебах", просто сотрудник с ноутбуком который через LTE мобильный должен/хочет к 1С серверу подрубиться.
Вот по-этой причине думается что если VPN сервером будет выступать одна машина на линукс, предположительно та же на которой 1с сервер будет вертеться, то будет удобнее организовать работу таких удаленных работников тоже.

(4) Вопрос как это изящно реализовать, OpenVPN поднимать и клиенты чтобы к нему стучались? Или есть другие решения для организации частной сети?

(5) У меня на WireGuard клиенты вполне себе по полям скачут и по офисам сидят и не жалуются.

(1) Конкретно OpenVPN это комильфо? Или тут нет жестких решений, каждый пляшет как может и разворачивает на том что знает и может поддерживать в дальнейшем?

(7) Спасибо, загуглю, краем уха слышал, но подробности не изучал. У вас если не секрет на чём стоит этот сервер впн, на линукс или на винде? Как на него стучаться могут клиенты, средствами заводскими винды в виде стандартной звонилки VPN из коробки винды можно или надо будет отдельный клиент фирменный ставить и настраивать всем?

Одним словом, подводя итоги, получается что нужно и можно копать в сторону какого-то нативного, встроенного для линукс VPN решения, типа IKEv2 IPSec, L2TPoverIPSec, либо взять сторонние конструкторы типа OpenVPN, WireGuard, поднимать, настраивать и крутить всё это дело внутри своей частной сети.
Один 1С с веб-сервером выставлять с голым задом в публичный доступ будет риск.

(9) Сервера VPN (именно сервера доступа) - как на Linux так и на Windows, клиент там свой и есть под все операционные системы (в т.ч. под Android/iOS): https://www.wireguard.com/install/
По скорости/удобству мало что его переплюнет.

+(11) У Mikrotik'а RouterOS 7ой версии умеет в WireGuard из коробки.

(12) Нормально. И в ядро линукса вроде как собирались внедрять, в будущих релизах, обсуждалось по-крайней мере если я правильно понял.

(5) ты заманаешься это все админить в таком виде.
Сейчас же филиалы уже связаны впн'ом ты пишешь, вот и оставь это.
В ДЦ подними отдельную виртуалку, которая будет выполнять роль шлюза (на одной ОС делать и шлюз и 1с как-то странно, мне кажется) - на чем она будет? на чем умеешь. Я бы поставил Mikrotik CHR, но если шаришь, как приготовить шлюз на линуксе, то почему бы и нет...
Дальше соединяешь шлюз ДЦ со своими филиалами vpn'ом => офисные не заметили, что 1с уехал куда-то.
Для тех, кто в полях решаешь, куда они будут подключаться по впн, я бы делал к главному офису (потом им и шара понадобится, например), так тебе в одном месте придется админить доступ к впн из-вне.

(8) Для связи сетей филиалов с центральным сервером лучше wireguard, как тут уже упоминали, он во-первых штатно работает в микротике, во-вторых, его и на винде и на линуксе проще поднять. А для "гуляющих клиентов" - обычный l2tp.