openvpn bridge
Vlada Macek
tuttle na bbs.fsik.cvut.cz
Pátek Srpen 13 12:06:15 CEST 2004
[Autor citovane zpravy: kocek.kvetoslav na vestizol.cz, cas odeslani:
13.08.2004 08:41]
>> Priznam se ze bridge pres OpenVPN jsem nedelal (normalni ano),
>> takze se mi zda uplne zbytecna ta druha sitovka do vnitrni site,
>> takze bych to udelal tak ze sitovku do lan zabridguji s openvpn a
>> ve skritptu firewallu (nat) se budu odkazovat na br0 jako vnitrni
>> interface.
>
> Je to mozne. Takze to bude vypadat takhle?
Tomu diagramu moc nerozumim. Videl bych to spis takhle:
,-----------------------------------------------------.
| |
Inet <---eth1) FIREWALL eth0(bezIP)--+-br0(lanIP) ---> LAN
|(inetIP) | |
| `-----openvpn(proces)--tap0(bezIP)--' |
`-----------------------------------------------------'
Ve skriptu pro firewall puvodni eth0 nahradite za br0.
Vyplyva z toho, ze ty tunelovane ethernetove datagramy obchazeji
netfilter (jsou o jednu vrstvu OSI niz!). Pro jejich filtraci bude
potreba dalsich nastroju (viz napr. http://ebtables.sourceforge.net).
Tento ethernet bridging jsem behem kratke chvile rozchodil podle
manualu. Jen to chce chvili cist a nejen na strankach OpenVPN.
Zkusenost: Pres dva NATy bez problemu. Komprimace s tim udela divy!
Jedna linka na trase je 256kbps a druha v serii priblizne taky tak a ve
Windowsim pruzkumnikovi jsem si klikal docela pohodlne a dvoumegovy XLS
soubor jsem mel doma behem par sekund. Bylo to o vikendu, v pracovni
dobe (behem zateze firemni linky IP provozem) by se to jiste patricne
zpomalilo.
Prinasi to ale samozrejme potencialni problemy s bezpecnosti. Pomoci
Ethernet bridge vlastne pomyslne propojite pocitace tech dvou siti
fyzickym kabelem a muze tam plavat libovolny protokol nad Ethernetem. To
bych se odvazil pouze v pripade, ze u OBOU zucastnenych siti presne vim,
co se v nich deje. Nad tim ve svem pripade nemam kontrolu, a proto ted
uvazuju o tom, ze uzivatele spis ochudim o pohodli jedne velke windowsi
site a sambovat se bude pres ostre kontrolovanou IP vrstvu.
Ma s timhle nekdo zkusenosti? Jak jste se rozhodli?
Vlada Macek
------------- další část ---------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 252 bytes
Desc: OpenPGP digital signature
URL: <http://www.linux.cz/pipermail/linux/attachments/20040813/dfb136ff/attachment.sig>
Další informace o konferenci Linux