"szétcseszi a route-olást, nevfeloldást, random root CA-kat telepít, feltöri a HTTPS kapcsolatokat, stb. Nem is beszélve a rootkitről, amit 'ellenőrzés' céllal telepít a gépedre. Ezek ráadásul igen kevés eséllyel (és sikerrel) futnak linuxon."
Routing... Ugyebár a nagyvilágot és a vpn-en túli világot nagyon nem lenne jó összeengedni egy ilyen végponton, nagyon nem lenne jó, ha a végpont a céges hálózaton kívül másfelé is tudna direktben kommunikálni. tetszik, vagy sem, de ez is feladata a vpn-nek: a nagyvilág felé _zárt_ hálózati végponttá alakítani az adott eszközt. Névfeloldás dettó, nem biztos, hogy öröm és bódottá, ha a céges k1fszm.intra címéről random szolgáltató random nameserverénél kezd érdeklődni a kliens.
A CA-k dolga, hogy a hitelesítéshez a megbízható harmadik felet adják - nagyon kevés az a cég, amelyik a belső hálózatán is megengedheti magának, hogy publikus CA-tól vegyen a szerverekre tanusítványt - egyrészt, mert ahhoz belül is publikus TLD alatti nevekre lenne szükség (ekkor bejön a DNS téma, meg a split dns ugye...), másrészt ha nem DV-s cert, akkor kifejezetten drága tud lenni, ha meg DV, vagy hasonló, akkor valameddig be kell engedni a külső felet validálási céllal, méga LE-s certeknél is.
Az SSL-bontás az előbbihez (is) kapcsolódik: a tartalomszűréshez, illetve a DLP-hez minimum a nagyvilág felé irányuló SSL/TLS forgalmakba bele kell nézni, ha tetszik, ha nem. (EZ utóbbi esetben a HR-en(!) tessék kopogtatni, és bejelenteni, hogy a munkavégzés feltételeit nem fogadod el)
De vevő vagyok a javaslatodra, ami megoldja az összeroute-olás, a belső CA-k, illetve a DLP/content filtering miatti ssl/tls bontás általad felvetett problémáját a kliensen történő routing/dns módosítás, illetve ca telepítés nélkül.