openvpn bridge

kocek.kvetoslav na vestizol.cz kocek.kvetoslav na vestizol.cz
Úterý Srpen 17 12:14:03 CEST 2004 

Tak jsem to ted rozbehal. Dik za pomoc.
-- 
 Kosac

> 
> [Autor citovane zpravy: kocek.kvetoslav na vestizol.cz, cas odeslani:
> 13.08.2004 08:41]
> 
> >> Priznam se ze bridge pres OpenVPN jsem nedelal (normalni ano),
> >> takze se mi zda uplne zbytecna ta druha sitovka do vnitrni site,
> >> takze bych to udelal tak ze sitovku do lan zabridguji s openvpn a
> >> ve skritptu firewallu (nat) se budu odkazovat na br0 jako vnitrni
> >> interface.
> >
> > Je to mozne. Takze to bude vypadat takhle?
> 
> Tomu diagramu moc nerozumim. Videl bych to spis takhle:
> 
>        ,-----------------------------------------------------.
>        |                                                     |
> Inet <---eth1)         FIREWALL   eth0(bezIP)--+-br0(lanIP) ---> LAN
>        |(inetIP)                               |             |
>        |   `-----openvpn(proces)--tap0(bezIP)--'             |
>        `-----------------------------------------------------'
> 
> Ve skriptu pro firewall puvodni eth0 nahradite za br0.
> 
> Vyplyva z toho, ze ty tunelovane ethernetove datagramy obchazeji
> netfilter (jsou o jednu vrstvu OSI niz!). Pro jejich filtraci bude
> potreba dalsich nastroju (viz napr. http://ebtables.sourceforge.net).
> Tento ethernet bridging jsem behem kratke chvile rozchodil podle
> manualu. Jen to chce chvili cist a nejen na strankach OpenVPN.
> 
> Zkusenost: Pres dva NATy bez problemu. Komprimace s tim udela divy!
> Jedna linka na trase je 256kbps a druha v serii priblizne 
> taky tak a ve
> Windowsim pruzkumnikovi jsem si klikal docela pohodlne a 
> dvoumegovy XLS
> soubor jsem mel doma behem par sekund. Bylo to o vikendu, v pracovni
> dobe (behem zateze firemni linky IP provozem) by se to jiste patricne
> zpomalilo.
> 
> Prinasi to ale samozrejme potencialni problemy s bezpecnosti. Pomoci
> Ethernet bridge vlastne pomyslne propojite pocitace tech dvou siti
> fyzickym kabelem a muze tam plavat libovolny protokol nad 
> Ethernetem. To
> bych se odvazil pouze v pripade, ze u OBOU zucastnenych siti 
> presne vim,
> co se v nich deje. Nad tim ve svem pripade nemam kontrolu, a proto ted
> uvazuju o tom, ze uzivatele spis ochudim o pohodli jedne 
> velke windowsi
> site a sambovat se bude pres ostre kontrolovanou IP vrstvu.
> 
> Ma s timhle nekdo zkusenosti? Jak jste se rozhodli?
> 
> Vlada Macek
> 
>

Další informace o konferenci Linux