"Модный" OpenVPN от SatGate

предлагает скачать инсталяционный дистрибутив, который содержит в директории /config в том числе конфигурационные файлы и файл с секретным приватным ключом

Ключ генерируется установленной программой или поставляется в самом дистрибутиве?

Ключ поставляется в самом дистибутиве, и имеет дату создания 01.11.2005г.

Тогда это довольно странный VPN...

Вы заблуждаетесь в одном – satgate использует openVPN не для защиты информации, а для маршрутизации.
Защита даже в этом случае, конечно, от "рыболовов" защищает, так как поставляемые ключи и сертификат используются только для организации защищённого канала управления по земле (и то я не до конца уверен в том, что канал управления тоже использует временные ключи) и общей аутентификации своих клиентов (по единому сертификату), персональная аутентификация клиента идёт по паролю, а защита канала данных использует временные сеансовые ключи.
Например, вот кусочек моего лога – ключи сбросились через час
Thu Jan 03 16:08:42 2008 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Thu Jan 03 16:08:42 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Thu Jan 03 16:08:42 2008 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Thu Jan 03 16:08:42 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Thu Jan 03 16:08:42 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA Thu Jan 03 17:08:41 2008 TLS: tls_process: killed expiring key
Можете быть спокойны, защита работает на 100%.

Да кстати, использование OpenVPN как средства для маршрутизации, а не для защиты информации оправдывает использование тестового приватного ключа. Только как то не аккуратненько получается, без ссылочки на официальном сайте провайдера.
Только меня смутила фраза:

torrero05:
так как поставляемые ключи и сертификат используются только для организации защищённого канала управления по земле

до этого мне казалось, что в приведенном файле конфигурации нет явной команды использовать шифрования трафика только для наземного канала.

torrero05:
Например, вот кусочек моего лога – ключи сбросились через час

Я так понимаю, что ежечасного обновления ключа, Вы добились исключив из .ovpn файла параметра reneg-sec 1209600?

BeeMoon

torrero05
так как поставляемые ключи и сертификат используются только для организации защищённого канала управления по земле

до этого мне казалось, что в приведенном файле конфигурации нет явной команды использовать шифрования трафика только для наземного канала.

Эээээ, ну вот, неточно выразился, и понеслось. Для защиты канала данных (идущего обратно через спутник) используется временный сеансовый ключ, в данном случае с заданным сроком жизни 1209600 секунд. А явной командой использовать шифрование является tls-client, которая так же задаёт и другое поведение и параметры. Чтобы явно отключить шифрование в этом случае, нужно вместе с tls-client указывать
cipher none

BeeMoon
Я так понимаю, что ежечасного обновления ключа, Вы добились исключив из .ovpn файла параметра reneg-sec 1209600?

Я привёл кусок лога не от этого провайдера, там специальной настройки для срока жизни ключей канала данных не указывалось, поэтому используется default 3600 секунд. В принципе, да, если в этой конфигурации удалить reneg-sec 1209600, то клиент будет каждые (default) 3600 сек. требовать у сервера сменить ключ, и фиг тот откажется.