Доступ к массиву удаленных станций

teamviewer не рассматриваешь? https://www.teamviewer.com/en/solutions/remote-desktop/raspberry-pi/ вроде должен работать.

Конечно же нет. Как я узнаю айди клиента и пароль? И там нет гуя.

Там можно перманентно предустановить id и пароль.

Так делай разные образы. Можешь в разметке указать раздел в конце, в fstab прописать, а потом генерировать squashfs с ключами и конфигом и подклеивать его к общему образу. Или пусть клиенты dd его в раздел. Раньше бы посоветовал не vpn, а tor, но его режут. Можешь в образ вписать «Мастер регистрации», который интерактивный, если они не совсем автономны.

И гуй?
И что если два клиента одновременно загрузят такую коробочку с одним паролем? Куда пойдет коннект?
Тимвюер не подходит.

Ну камон, мне для 100 клиентов хостить 100 образов по гигу?
Никакого интерактива быть не должно. Клиент втыкает микросд, езернет кабель и этого достаточно должно быть.

Вообще нет особой проблемы с генерацией ключей и ID на месте, только ты не будешь знать какой ID к чему относится.

Это не проблема, сгенерить ключ и разобраться, какой клиент появился. Что по технологии доступа посоветуешь ?

Так у клиентов гуя нету? Добавь эту инфу в описание. Если гуя нет, я бы тоже по пути впн шел.

Я тебе предложил подклеивать. Вон, для смартфонов тоже часто оперируют несколькими кусками, собираемыми в один архив.

Что по технологии доступа посоветуешь ?

Как я сказал, tor был неплох, пока не блокировали. openvpn жирноват, может, а сейчас в моде wireguard. Но это меньше половины от технологии доступа.

Ты имеешь в виду, сделать единый большой образ и выдавать каждому клиенту ещё дополнительно маленький блоб, по которому его потом и ловить?
Это как бы не проблема, отловить клиента. Меня больше волнует технология доступа, впн и ссш может быть с вероятностью 1% недоступно.

Клиент втыкает микросд, езернет кабель и этого достаточно должно быть.

В debian/ubuntu так и сделано. Сразу после установки можешь подключится по ssh по паролю.

Клиент за нат

Выкладывали на лоре сервис проброса ssh через нат. Поищи.

Сделал публичный порт-форвардер через SSH, оцените

Вот, это оно.

ну, прикольно, @ValdikSS молодец!
Но это то же, что ssh -R, которое я уже упомянул.

не понял в чём вопрос, софта вагон - бери и делай, тебе нужен полный список всех утилит или нужно за тебя сделать чтобы работало?

На чем бы ты сделал?

Тестируй и рассказывай ).

Либо обычный OpenVPN по алгоритму, описанному вами, либо что-то более продвинутое через условный cloud-init.

Если вам не нужен никакой контроль доступа, то, пожалуй, OpenVPN будет наиболее лёгким вариантом в настройке и использовании.

• Openvpn клиент без пароля, на сервере разрешено duplicate-cn, т.к. образ единый.

• ssh -R, проброс рандомного порта на локальный 22.

Пусть твоя удалённая станция ломится при первом включении по ssh на сервак и получает оттуда сертификат для openvpn, кладёт его в нужное место и поднимает openvpn туннель. Если сертификат уже получен и лежит где надо, то сразу запускай на удалённой станции openvpn клиента и всё.

Получишь сразу локалку из твоих удалённых станций без всяких проблем с натами и пр.