openvpn bridge

kocek.kvetoslav na vestizol.cz kocek.kvetoslav na vestizol.cz
Úterý Srpen 17 15:02:57 CEST 2004 

Jeste jedna vec: kdyz na serveru s bridgem
chci nastavit shaper (vyhradit pasmo pro
bridge-VPN, omezit nektere stahovace atd.) - na
kterem rozhrani ho nastavuju? Na eth0 (LAN)
nebo na br0?
Dik
-- 
 Kosac

> 
> Tak jsem to ted rozbehal. Dik za pomoc.
> -- 
>  Kosac
> 
> > 
> > [Autor citovane zpravy: kocek.kvetoslav na vestizol.cz, cas odeslani:
> > 13.08.2004 08:41]
> > 
> > >> Priznam se ze bridge pres OpenVPN jsem nedelal (normalni ano),
> > >> takze se mi zda uplne zbytecna ta druha sitovka do vnitrni site,
> > >> takze bych to udelal tak ze sitovku do lan zabridguji s openvpn a
> > >> ve skritptu firewallu (nat) se budu odkazovat na br0 jako vnitrni
> > >> interface.
> > >
> > > Je to mozne. Takze to bude vypadat takhle?
> > 
> > Tomu diagramu moc nerozumim. Videl bych to spis takhle:
> > 
> >        ,-----------------------------------------------------.
> >        |                                                     |
> > Inet <---eth1)         FIREWALL   eth0(bezIP)--+-br0(lanIP) ---> LAN
> >        |(inetIP)                               |             |
> >        |   `-----openvpn(proces)--tap0(bezIP)--'             |
> >        `-----------------------------------------------------'
> > 
> > Ve skriptu pro firewall puvodni eth0 nahradite za br0.
> > 
> > Vyplyva z toho, ze ty tunelovane ethernetove datagramy obchazeji
> > netfilter (jsou o jednu vrstvu OSI niz!). Pro jejich filtraci bude
> > potreba dalsich nastroju (viz napr. 
> http://ebtables.sourceforge.net).
> > Tento ethernet bridging 
> jsem behem kratke chvile rozchodil podle
> > manualu. Jen to chce chvili cist a nejen na strankach OpenVPN.
> > 
> > Zkusenost: Pres dva NATy bez problemu. Komprimace s tim udela divy!
> > Jedna linka na trase je 256kbps a druha v serii priblizne 
> > taky tak a ve
> > Windowsim pruzkumnikovi jsem si klikal docela pohodlne a 
> > dvoumegovy XLS
> > soubor jsem mel doma behem par sekund. Bylo to o vikendu, v pracovni
> > dobe (behem zateze firemni linky IP provozem) by se to 
> jiste patricne
> > zpomalilo.
> > 
> > Prinasi to ale samozrejme potencialni problemy s bezpecnosti. Pomoci
> > Ethernet bridge vlastne pomyslne propojite pocitace tech dvou siti
> > fyzickym kabelem a muze tam plavat libovolny protokol nad 
> > Ethernetem. To
> > bych se odvazil pouze v pripade, ze u OBOU zucastnenych siti 
> > presne vim,
> > co se v nich deje. Nad tim ve svem pripade nemam kontrolu, 
> a proto ted
> > uvazuju o tom, ze uzivatele spis ochudim o pohodli jedne 
> > velke windowsi
> > site a sambovat se bude pres ostre kontrolovanou IP vrstvu.
> > 
> > Ma s timhle nekdo zkusenosti? Jak jste se rozhodli?
> > 
> > Vlada Macek
> >

Další informace o konferenci Linux