openvpn bridge

Vlada Macek tuttle na bbs.fsik.cvut.cz
Pátek Srpen 13 12:06:15 CEST 2004


[Autor citovane zpravy: kocek.kvetoslav na vestizol.cz, cas odeslani:
13.08.2004 08:41]

>> Priznam se ze bridge pres OpenVPN jsem nedelal (normalni ano),
>> takze se mi zda uplne zbytecna ta druha sitovka do vnitrni site,
>> takze bych to udelal tak ze sitovku do lan zabridguji s openvpn a
>> ve skritptu firewallu (nat) se budu odkazovat na br0 jako vnitrni
>> interface.
>
> Je to mozne. Takze to bude vypadat takhle?

Tomu diagramu moc nerozumim. Videl bych to spis takhle:

       ,-----------------------------------------------------.
       |                                                     |
Inet <---eth1)         FIREWALL   eth0(bezIP)--+-br0(lanIP) ---> LAN
       |(inetIP)                               |             |
       |   `-----openvpn(proces)--tap0(bezIP)--'             |
       `-----------------------------------------------------'

Ve skriptu pro firewall puvodni eth0 nahradite za br0.

Vyplyva z toho, ze ty tunelovane ethernetove datagramy obchazeji
netfilter (jsou o jednu vrstvu OSI niz!). Pro jejich filtraci bude
potreba dalsich nastroju (viz napr. http://ebtables.sourceforge.net).
Tento ethernet bridging jsem behem kratke chvile rozchodil podle
manualu. Jen to chce chvili cist a nejen na strankach OpenVPN.

Zkusenost: Pres dva NATy bez problemu. Komprimace s tim udela divy!
Jedna linka na trase je 256kbps a druha v serii priblizne taky tak a ve
Windowsim pruzkumnikovi jsem si klikal docela pohodlne a dvoumegovy XLS
soubor jsem mel doma behem par sekund. Bylo to o vikendu, v pracovni
dobe (behem zateze firemni linky IP provozem) by se to jiste patricne
zpomalilo.

Prinasi to ale samozrejme potencialni problemy s bezpecnosti. Pomoci
Ethernet bridge vlastne pomyslne propojite pocitace tech dvou siti
fyzickym kabelem a muze tam plavat libovolny protokol nad Ethernetem. To
bych se odvazil pouze v pripade, ze u OBOU zucastnenych siti presne vim,
co se v nich deje. Nad tim ve svem pripade nemam kontrolu, a proto ted
uvazuju o tom, ze uzivatele spis ochudim o pohodli jedne velke windowsi
site a sambovat se bude pres ostre kontrolovanou IP vrstvu.

Ma s timhle nekdo zkusenosti? Jak jste se rozhodli?

Vlada Macek

------------- další část ---------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 252 bytes
Desc: OpenPGP digital signature
URL: <http://www.linux.cz/pipermail/linux/attachments/20040813/dfb136ff/attachment.sig>


Další informace o konferenci Linux