Есть. И, блин, я еще не придумал чего она не может :). Но это не значит что мне сильно охота ацца с входом на морду роутера.

>2) Можно поднять SSH и на DD-WRT (OpenWRT), да. У меня только
>ноутбук 24/7 крутится включённым, а на Asus WL-600G дефолтная прошивка, WRT
>не ставил.

Соображения простые: чем меньше звеньев в цепочке, тем надежнее. Это так, опыт тунеллинга фаеров через промежуточные хосты и прочая :). Если вероятность отказа 1 звена 50% и у нас 3 звена так что успех во всех из них важен, наши шансы на успех всего-то 0.5 * 0.5 * 0.5 = 0.125 (ака 1/8). В реальности конечно не так отвратно, это утрированно, НО чем меньше лишних посредников тем надежнее и быстрее в конечном итоге.

>3) Сколько фаеров встречал - ssh-трафик не резали.

Тупо режут все нестандартные порты и готово. Особо маниакальные кул-одмины могут попробовать зарезать все неизвестные протоколы. А вот SSL на 443 порту - ни одна скотина резать не будет. Иначе юзеры эту скотину порвут жалобами нафиг, когда у них банки, платежные системы и прочая работать перестанут. Ага? :)

>OpenVPN легче зарезать.

Чем легче? Протокол стандартный SSL, порт любой. Достаточно бронебойно. А резка SSL на 443/TCP еще и однозначный попадос для админа на вагон жалоб от юзеров, не так ли? И опенвпн без проблем поюзает и 443/TCP, в последней версии даже можно шарить порт с HTTPS cервером :)

>4) См. пункт 2.

Ну, у каждого свои предпочтения. Если я буду нервничать по части вебморды, я не буду вывешивать ее в ван но оставлю себе лазейку в виде впн в интранетик =). И в этой схеме только я и роутер. Минимум звеньев, но не в ущерб остальному. Живость писюка где-то там ... ну в общем это пройденный этап, надежность хуже.