openvpn bridge
kocek.kvetoslav na vestizol.cz
kocek.kvetoslav na vestizol.cz
Pátek Srpen 13 15:56:26 CEST 2004
> Tomu diagramu moc nerozumim. Videl bych to spis takhle:
>
> ,-----------------------------------------------------.
> | |
> Inet <---eth1) FIREWALL eth0(bezIP)--+-br0(lanIP) ---> LAN
> |(inetIP) | |
> | `-----openvpn(proces)--tap0(bezIP)--' |
> `-----------------------------------------------------'
Jo tak nejak jsem to myslel, akorat neumim kreslit :-)
>
> Ve skriptu pro firewall puvodni eth0 nahradite za br0.
>
> Vyplyva z toho, ze ty tunelovane ethernetove datagramy obchazeji
> netfilter (jsou o jednu vrstvu OSI niz!). Pro jejich filtraci bude
> potreba dalsich nastroju (viz napr. http://ebtables.sourceforge.net).
> Tento ethernet bridging jsem behem kratke chvile rozchodil podle
> manualu. Jen to chce chvili cist a nejen na strankach OpenVPN.
>
> Zkusenost: Pres dva NATy bez problemu. Komprimace s tim udela divy!
> Jedna linka na trase je 256kbps a druha v serii priblizne
> taky tak a ve
> Windowsim pruzkumnikovi jsem si klikal docela pohodlne a
> dvoumegovy XLS
> soubor jsem mel doma behem par sekund. Bylo to o vikendu, v pracovni
> dobe (behem zateze firemni linky IP provozem) by se to jiste patricne
> zpomalilo.
4Mbit by 1-2 klienty mohlo zvladnout i za provozu. Kdyztak
shaperem vyhradim pasmo.
>
> Prinasi to ale samozrejme potencialni problemy s bezpecnosti. Pomoci
> Ethernet bridge vlastne pomyslne propojite pocitace tech dvou siti
> fyzickym kabelem a muze tam plavat libovolny protokol nad
> Ethernetem. To
> bych se odvazil pouze v pripade, ze u OBOU zucastnenych siti
> presne vim,
> co se v nich deje. Nad tim ve svem pripade nemam kontrolu, a proto ted
> uvazuju o tom, ze uzivatele spis ochudim o pohodli jedne
> velke windowsi
> site a sambovat se bude pres ostre kontrolovanou IP vrstvu.
>
> Ma s timhle nekdo zkusenosti? Jak jste se rozhodli?
>
> Vlada Macek
Diky
--
Kosac
Další informace o konferenci Linux