IPIP tunel

Stanislav Kysela kysela na terms.cz
Pondělí Říjen 25 15:20:10 CEST 1999 

On 25 Oct 1999, Jakub Dadak wrote:

> On 24 Oct 1999, Jakub Dadak wrote:
> >
> >> >> PS: Mimochodem provozuje nekdou tunel na 2.2 ?
> >> >> Nedavno jsem s tim laboroval a dosel jsem do stavu, ze mi pakety
> >> >> tunelem odchazely na druhy konec, kde jsem je monitoroval tcpdumpem,
> >> >> ale tam se nedostaly z tunelu ven, nebo nebyly dale forwardovany.
> >> >> Staci na strane vyusteni pouze mit zatazeny modul ipip ?
> >> >
> >> >Nevim na co presne se ptate, ale na obou stranach musi byt konfigurovano
> >> >rozhrani pro tunel (vstup/vystup do/z tunelu).
> >>
> >> No za urcitych okolnosti prave nemusi a to v pripade, ze na jedne
> >> strane jsou adresy routovatelne a na druhe strane je sit.
> >> s privatnimi adresami.
> >>
> >>  Napr.
> >>
> >>       router A                             router B
> >>  194.xxx.xxx.xxx -------- TUNEL --------> 192.168.1.0/24
> >>
> >>  V tomto pripade jsem na 2.0.x jadre mel pouze na routeru
> >> "A" nakonfigurovan tunel na router B a na ruteru B jsem
> >> mel pouze zatazeny modul ipip.o, ktery paktety "vybaloval" z
> >> ipip. Takze paket, ktery sel ze site A sel pres tunel, ale
> >> zpatky to bezelo samo, protoze cilova adresa bylaroutovatelna.
> >            ^^^^^^^^^^^          ^^^^^^^^^^^^^
> >A co zdrojova adresa ze site B, to zajistujete nejakym jinym zpusobem ?
> Smer A -> B:
> zdrojova adrese je napr. 194.xxx.xxx.1
> cilova adresa je napr. 192.168.1.1
> 
> Aby se tento paket zaroutoval, je treba tunelu aby se dostal na router B,
> ktery uz vi co s nim dal delat
> Smer B -> A:
> zdrojova adresa je napr. 192.168.1.1
> cilova adresa je napr. 194.xxx.xxx.1
> 
> Protoze cilova adresa je normalne routovatelna, neni treba
> tunelu na cestu zpet.
> 
> >Potom vsak marne premyslim, k cemu muze byt takova konfigurace v realu
> >uzitecna. Prosim objasnete mi to. Dekuji.
> 
> No to je jednoduche. Napriklad jedna cast firmy v Brne (A) potrebuje
> pristupovat
> do site druhe casti v Praze(B). Sit v praze je adresovana v adresach typu
> 192.168.xxx.xxx,
> ale cast v Brne ma adresy routovatelne. Protoze z jakychsi duvodu neni
> vhodne
> delat nejaky preklad adres na routeru v Praze, tak jsem zvolil jako reseni
> tunel.
> 
> Nyni pouzivam cipe a jsem s nim spokojen.

Jestli jsem to dobre pochopil, tak je to reseni sice funkcni (pokud se
ze site B neodkazuji primo do Internetu, ale pouze do site A), ale,
prominte mi ten vyraz, pekne prasacke. Na internetu by se podle meho
nemely objevit privatni adresy v zadne podobe (cilova, ani zdrojova
adresa paketu, DNS, ...). Vyjimku muze tvorit ta cast Internetu, ktera
je pod mou spravou a ja zajistim, ze me privatni adresy budou pro ostani
uzivatele internetu neviditelne.

S pozdravem

--
Stanislav Kysela    -    UNIX systems & network administrator
e-mail: stanislav.kysela na terms.cz , stanislav.kysela na email.cz

Další informace o konferenci Linux