Всем привет, вот назрела потребность тотальной шифрации всего сип трафика от одного абонента за натом к центральному * (без ната). Может кто нибудь что то посоветовать куда рыть? К СИП юзеру могу поставить хоть отдельный сервер хоть коробочную версию.

Тут есть некоторые проблемы.
Тебе придется поставить или скомпилить sip с такими либами как ssl поверх него tls. И дальше использовать srtp и все будет шоколадно.
Но есть одно но если весь сип со всей обвязкой взять за 100% тогда ssl+tls в нем займет 50-60%. На самом деле мы смотрели на такую реализацию , слишком геморно , не потянуть.
Проще vpn тунель построить.
Вроде minisip поддерживает ssl+tls но тоже написан процентов на 60-70

Кто (что) делает НАТ у абонента? Относительно простой способ аппаратно какой-то железкой, на которой соорудить IPsec туннель, второй конец которого засунуть в *, на котором надо поднять IPsec в ядре, усякие pluto демоны шнырь-шнырь. Гаранитована невскрываемость от пункта А (НАТ-железка абонента) до пункта Б (сервер *). НАТ при этом лучше делать на * конце тунелля через iptables. У нас в таком варианте проработала АТА-186 на абонентской стороне почти год.

Согласен.
Хороший ход тунель на ipsec.

iMHO, ipsec сложнее чем openvpn.

проще: взять pptp с криптованием. на серваке с * поднять pptpd и цеплять дешевые мыльницы типа D-Link 604 (сейчас будет ругань :), за которыми ставить клиентов.

Железки пока никакие не стоят у клиента (кроме СИП телефона)-он ждет ответа на вопрос "че купить то?". Если все будет шоколадно он подключит еще несколько аппаратов в удаленном офисе. Так что необходимо изначально предусмотреть многоканальность. Штудирую сейчас маны по openvpn freeswan openswan ipsec-tools и пытаюсь выбрать между ними...

После бесед с клиентом выбрана железка, больше в его городке ничего не купить.
http://www.dlink.ru/products/prodview.php?type=15&id=150

Сегодня ко мне приедет такая же, буду пытаться тренироваться на кошках и прикрутить ее к своему серваку. РЕАЛЬНЫЙ сервер перезагрузить НЕТ возможности, те операции с ядром отпадают, что посоветуете из вышеперечисленного?

Разнести VPN-concentrator и asterisk-box по физически разным железкам.

Одинаковые железки легко позволяют делать туннель офис-офис. В твоем случае - офис1 (у клиента, НАТ и все такое) и офис0 - у тебя. Делаешь фокус, при котором офис0 это только один ИП с маской 255.255.255.255, который будет реальный ИП адрес твоего *.