Всем привет товарищи комрады, попробовал я и то и другое. Сейчас  будет собственное имхо и небольшая таблица, что бы как-то  структурировать то, что есть в голове.

Давайте начнем с того, что поясню, что это за звери такие, тем кто в танке.
Это готовые скрипты для разворачивания собственного сервера VPN, они  делают за 15 минут то, что опытный сисадмин будет ковырять неделю.

Streisand

https://github.com/StreisandEffect/streisand

Основной, но далеко не единственный инструмент из его арсенала  построения тунеля это OpenVPN. Порты на которых висят сервисы хорошо  подобраны, используется DPI во благо, что бы на 443 порт повесить  максимум вариантов подключений.
Саму таблицу сравнения я напишу ниже, сейчас только самые плюсы и минусы:

Плюсы:

  1. Много вариантов подключения, оптимизация выбора портов из коробки  для максимальной доступности сервера из любой сети. В таблице укажу  список, того что имеется сразу на борту;
  2. Shadowsocks в последней редакции наконец заменили simply obfs на v2ray из коробки;
  3. Генерация инструкций в формате html прям на веб-сервере, генерирует  под каждого пользователя, которых можно создать до 20 с рандомными  именами, но все в одном месте. То есть даете общий пароль от веб-морды,  будут доступны сразу все пользаки и сертификаты. Но тут понятно, давать  его вы будете только друзьям, родственникам называя конкретный логин,  плюшка оч прикольная;
  4. Аудит проходил независимый https://github.com/StreisandEffect/streisand/blob/master/documentation/audits/2018.otf.includesec.audit.pdf;
  5. Создает копию дистрибутивов клиентов выкачивая их при установке  и размещая на микро сайте вашего сервера п.3. на случай недоступности  сайтов клиентов.
  6. В качесвте файрвола используется ufw (личное предпочтение)

Минусы:

  1. Установка. Он требует генерацию ключей для подключения по ssh,  без ключей закрытого и открытого устанавливаться не будет. Другими  словами, если хотите просто дальше заходить по паролю на сервер то  не получится, только ключами. А ключи генерятся на локальной машине  и переносятся на удаленную (ну или есть другие варианты тут танцы опять  таки). Тут дело привычки, если у вас линукс, мак то ок, если винда  придется поплясать с бубном. Ну реально не тривиально, или я тупой;
    Даже при локальной установке он проверяет наличие в папке с ключами  наличие ключа, а то, что вам он не нужен ему пох, можно сгеренить  на сервере и забыть, но я как то сгенерил, а потом попасть на сервер  не смог. В общем с опытом работы с ключами у меня есть недоработка,  видимо в этом причина;
  2. Shadowsocks хоть и устанавливается с плагином v2ray но маскирует  трафик под http, висит на порту с которого обновляется Windows, WSUS  короче, а маскируется под github ну бред. Тут считаю недоработкой. Можно  было бы куда интереснее сделать маскировку;
  3. OpenVPN часто троттлят или блокируют. И вообще он прожорлив  к ресурсам как сервера так и клиента, тратит много энергии гаджетов,  но есть и другие способы подключения, так что это так к слову. И нужно  устанавливать доп. софт для подключения, сам клиент;
  4. Не блокирует рекламу и трекеры на стороне сервера;
  5. Более тяжеловесен для сервера, ставит много чего лишнего при установке.
  6. Допускает возможность слабого шифрования, в отличии от Algo.

Algo VPN

https://github.com/trailofbits/algo

Основной вид подключения IPSec IKEv2 изначально позиционируется как  сконфигурированный с максимальной силой защиты скрипт для всех сервисов,  а их всего два из коробки IPSec IKEv2 и WireGuard, которые висят  на стандартных портах для них. Более ничего.
Вся конфигурация, добавление новых пользователей, которых можно создать  250 штук делается в консоле, но имена можете генерить свои, тут нет  рандома и навязывания имен.

Плюсы:

  1. Вместо OpenVPN тут IPSec IKEv2 на моем опыте всегда был открыт  к коннекту, работает в разы быстрее OpenVPN и ест меньше ресурсов,  но так же троттлят скорость как и OpenVPN часто;
  2. Тащит за собой минимум барахла;
  3. Отлично работает с iOS и Mac и Windows не нужны дополнительные  программы, все поддерживается в самих системах в стандартных настройках;
  4. С локальной установкой сложностей нет;
  5. Умеет блокировать рекламу и трекеры сам по черному списку через DNS, реально удобно;
  6. Работает dnscrypt и днс берется из локального адреса сервера внутри  тунеля исключая DNS-Leak и подмену провайдером DNS адресов, а сервер  можно настроить на использования конкретных DNS серверов, например  9.9.9.9  или любой другой на ваш вкус в конфиге.
  7. Из коробки настроен только на максимально сильные виды шифрования.

Минусы:

  1. Нацелен на защиту передачи данных, то есть ПРИВАТНОСТЬ, поэтому мало вариантов подключения и используются стандартные порты.
  2. Нет генерации html инструкций как в сопернике, все конфиги просто  складываются в папку по типу подключения, а уже руками вы рассылаете их  кому нужно и говорите как устанавливать, если люди не особо шарят  придется помогать.
  3. Dnscrypt и в минусы у меня попал, нюанс, иногда новый запрошенный  сайт резольвиться чуть дольше обычного, но может быть это только моя  локальная проблема.
  4. В качестве файрвола используется iptables (личное предпочтение ufw)

Доработать из коробки возможно так, установить shadowsocks + v2ray на 443 порту.

WireGuard клиенты по красоте в плане эстетики вообще унылое г, но может скоро и сделают красоту.

Варианты подключений из коробки:

Тип подключения Algo VPN Streisand
OpenVPN - +
OpenVPN через stunnel - +
IPSec IKEv2 + -
OpenConnect / Cisco AnyConnect - +
Shadowsocks + v2ray - +
SSH + +
Tor relay - +
WireGuard + +

В сухом остатке Streisand, штука очень крутая, но если:

  1. настроить Shadowsocks на v2ray обфускацию в режиме TLS, а не просто HTTP и повесить на 443 порт
  2. добавить IPSec IKEv2 для полного набора
  3. добавить блокировщик рекламы на уровне DNS

То вообще вопросов бы не было и я бы использовал именно Streisand. И только его.

Даже закрыл глаза на геморойную установку с ключами ради того, что бы  иметь МАКСИМУМ возмножных вриантов подключений, но по заявлению самих  разрабов, они не используют IPSec IKEv2 якобы он был когда-то  скомпромитирован, но тут у меня вопрос, да был скомпроментирован IKEv1 —  1 версия, а не IKEv2, ко 2 вообще вопросов нет.
Еще вопрос у них риторический, почему и винда и мак из коробки дают  возможность устанавливать IPSec соединение, ну и код исходный закрыт так  как это детище Cisco и MS, считают это заговором и типо если дают,  значит могут слушать тут уже конечно признаки фобии, но вот здоровой ли  или нет — тут вопрос, и действительно есть над чем подумать.

Таблица типов подключений и троттлинга провайдерами по скорости, на примере МТС
Скорость без VPN была ~66M\s аппарат лежал на одном и том, же месте. Связь стабильная в этой точке всегда.

Тип подключения Троттлинг Скорость
OpenVPN +++ 8,1
OpenVPN через stunnel ++ 17,3
IPSec IKEv2 + 27
OpenConnect / Cisco AnyConnect ++ 20,2
Shadowsocks + v2ray - 61,5
Shadowsocks - 60.1
WireGuard ++ 14,8

Как видно по замерам очень сильно троттлят голый OpenVPN. IPSec троттлят в 2 раза от максимальной скорости.
Лучше всего показывает себя Shadowsocks даже без обфускации. Подобная  картина возможна на большинстве федеральных провайдеров, удивило то, что  даже WireGuard научились распознавать.

Баланс из этого всего это IPSec IKEv2, скорости с учетом троттлинга  хватает для всех нужд через LTE, а для ускорения Shadowsocks.