Jen jestli to správně chápu,
tak v momentě kdy se z jakéhokoliv důvodu neaktualizují záznamy klienta u nějaké bezvadné free DNS služby, třeba kvůli její odstávce, přetížení atp. (počítám, že free varianta je bez jakéhokoliv závazku dostupnosti) nebo když nebude dočasně dostupná DNSka pro překlad na tom serveru, tak se klient po změně IP nepřipojí.
Taky je super, že ta DNS služba má na free tieru minimální hodinové TTL, takže když by tam někde u serveru byl třeba kešovací resolver (což občas dává docela smysl), tak vám může taky hodinu vracet starou IP (to se dá ale využít k tomu, že se může jít klient třeba projít, než vyprší všechny timeouty DNSce a cronu).
Nakonec to, že se v tom setu budou štosovat staré IP adresy, které může zrecyklovat kdokoliv (s tím CGNATem) a dáte jim přístup k těm službám, než je ručně vymažete a obnovíte celý set, už je jen taková třešnička na dortu.
Jako jo, je to docela vymakané, to nemohu říct.
Taková VPN brána je oproti tomuhle systému problematická, protože - co kdyby se s ní něco stalo.
Opakuji, že VPN mám, tohle je záložní řešení, když by vpn spadla spolu se serverem. VPN běží jako obyčejný virtuál takže se ho výpadek může týkat stejně jako jakékoli jiné služby. Stačí když bude fungovat tohle nebo VPN, nebo nějaká další ip adresa která se nemění. Pokud jeden fyzický stroj spadne, potřebuji pak nahodit virtuály co tam běžely na jiném stroji a tam se potřebuji co nejrychleji a nejednodušeji dostat. Dynamickým whitelistem vpn možnost neruším ani neruším možnost udělat to z ip adres, které se nemění.
Že by teoreticky mohlo hádat heslo několik set náhodných BFU lidí z ČR mne nijak netrápí. Jsou tam stejně klíče, přihlášení heslem zakázané. Firewall je tam hlavně proto, aby do něj nebušili útočníci co náhodně skenují internet a zkouší otravovat.