Oké, most játszunk úgy, hogy nincs végtelen erőforrásod.
Az ifconfig-hoz elég mondjuk 300 kódsor, míg az API-hoz kell mondjuk 3000 (Pontscho szerint nem). Külső scriptet egyébként is hív az OpenVPN (up/route-up/stb), az Y típusú hekkelés ezeken ugyanúgy megejthető, sőt, azok még a juzertől is kapnak inputot! A rövidebb kódot pedig könyebb karbantartani, auditálni, hackelni, portolni. Separation of concerns ésatöbbi.
Az inetd is egy biztonsággal kapcsolatba hozható eszköz (mi nem?), erre a hülyék micsinálnak, na mit?! - Há' forkolnak meg futtatnak orrba-szájba! Direkt erre írtak programot! Gondolom az NSA dörzsöli is a tenyerét!
- Na, szóval érted. Nem példa nélküli az, hogy valami -amin nagy a felelősség- forkol és futtat. Ergo az eljárás kiállta az idő próbáját, meg lehet oldani biztonságosan is.
A teljesítményről annyit, hogy server módban, ahol sok kliens várható, egyszer van ifconfig futtatás: a daemon indulásakor.
Azaz: mindent lehetne jobbá tenni, egy bonyolult szoftver sincs kész, de az erőforrások sajnos mindig végesek. Nem állítom, hogy natív API-val megcsinálni őrültség, de egy bevált (karbantartható, működő, hovatovább: biztonságos) megoldást lecserélni az, miközben egy rakat olyan terület van ahol nem működik, hiányzik, nem fenntartható valami és biztos, hogy az OpenVPN is tele van ilyennel, mint minden nagy project.
"Az elvek olyanok, mint a f*s: tartod ameddíg bírod." :)