openvpn bridge
kocek.kvetoslav na vestizol.cz
kocek.kvetoslav na vestizol.cz
Úterý Srpen 17 12:14:03 CEST 2004
Tak jsem to ted rozbehal. Dik za pomoc.
--
Kosac
>
> [Autor citovane zpravy: kocek.kvetoslav na vestizol.cz, cas odeslani:
> 13.08.2004 08:41]
>
> >> Priznam se ze bridge pres OpenVPN jsem nedelal (normalni ano),
> >> takze se mi zda uplne zbytecna ta druha sitovka do vnitrni site,
> >> takze bych to udelal tak ze sitovku do lan zabridguji s openvpn a
> >> ve skritptu firewallu (nat) se budu odkazovat na br0 jako vnitrni
> >> interface.
> >
> > Je to mozne. Takze to bude vypadat takhle?
>
> Tomu diagramu moc nerozumim. Videl bych to spis takhle:
>
> ,-----------------------------------------------------.
> | |
> Inet <---eth1) FIREWALL eth0(bezIP)--+-br0(lanIP) ---> LAN
> |(inetIP) | |
> | `-----openvpn(proces)--tap0(bezIP)--' |
> `-----------------------------------------------------'
>
> Ve skriptu pro firewall puvodni eth0 nahradite za br0.
>
> Vyplyva z toho, ze ty tunelovane ethernetove datagramy obchazeji
> netfilter (jsou o jednu vrstvu OSI niz!). Pro jejich filtraci bude
> potreba dalsich nastroju (viz napr. http://ebtables.sourceforge.net).
> Tento ethernet bridging jsem behem kratke chvile rozchodil podle
> manualu. Jen to chce chvili cist a nejen na strankach OpenVPN.
>
> Zkusenost: Pres dva NATy bez problemu. Komprimace s tim udela divy!
> Jedna linka na trase je 256kbps a druha v serii priblizne
> taky tak a ve
> Windowsim pruzkumnikovi jsem si klikal docela pohodlne a
> dvoumegovy XLS
> soubor jsem mel doma behem par sekund. Bylo to o vikendu, v pracovni
> dobe (behem zateze firemni linky IP provozem) by se to jiste patricne
> zpomalilo.
>
> Prinasi to ale samozrejme potencialni problemy s bezpecnosti. Pomoci
> Ethernet bridge vlastne pomyslne propojite pocitace tech dvou siti
> fyzickym kabelem a muze tam plavat libovolny protokol nad
> Ethernetem. To
> bych se odvazil pouze v pripade, ze u OBOU zucastnenych siti
> presne vim,
> co se v nich deje. Nad tim ve svem pripade nemam kontrolu, a proto ted
> uvazuju o tom, ze uzivatele spis ochudim o pohodli jedne
> velke windowsi
> site a sambovat se bude pres ostre kontrolovanou IP vrstvu.
>
> Ma s timhle nekdo zkusenosti? Jak jste se rozhodli?
>
> Vlada Macek
>
>
Další informace o konferenci Linux