tunel na dynamicku IP

Vlada Macek tuttle na bbs.fsik.cvut.cz
Čtvrtek Prosinec 9 09:27:23 CET 2004


Zdenek SUTR Kaminski wrote:

> On Thu, 16 Sep 2004, Vasek Stodulka wrote:
>
>> On Thu, 16 Sep 2004 07:41:44 GMT, Lubos Chovan <kremo na mag-net.sk>
>> wrote:
>>
>>> Dobry den Mam takyto problem. Mam dve siete. Jedna siet je za
>>> routrom s NATom, ktory je na internet pripojeny statickou ip
>>> adresou. Druha siet je na internet pripojena cez ADSL a ma
>>> dynamicku ip adresu (meni sa kazdy den ked chlap pride do prace a
>>> zapne router). Potreboval by som spravit tunel medzi tymito
>>> dvomi sietami. Neviete niekto poradit ako mozem obist to, ze
>>> jedna siet nema staticku ip adresu? Dakujem
>> ...
> ... Nicmene pokud by jste nechtel mit otevreny port pro openvpn, tak
> pro Vas muze byt resenim pouzit portnocking, kterym si ten port pro
> navstevniky zvenci otevrete.
>
> Mimochodem nepsal jste nahodou uplne stejny dopis do konference
> 13.unora? :-)

Vzhledem k tomu, ze puvodni tazatel mel pomerne slusne protazeny termin
na vyreseni sveho problemu (nic ve zlem.:), dovolil bych si podotknout,
ze techniku portknocking v pripade pouziti OpenVPN (alespon rady 2.0)
nebudete potrebovat. Take jsem to pred nasazenim zvazoval.

Nicmene staci pouzit predrazenou autentifikaci pomoci parametru
--tls-auth. Dokud klient jako prvni neposle spravny HMAC paket
vypocitany z predem dohodnuteho sdileneho klice, server se vubec neozve
a nedojde k dalsimu kroku, idealne TLS. Za prve se server neprozradi a
za druhe setri prostredky skutecne jen pro toho, kdo si to zaslouzi.
Tvurce programu zaroven zamerne minimalizuje pocet radku kodu, ktere
server prochazi predtim, nez alespon minimalne verifikuje svuj protejsek.

OpenVPN je prikladem vzorne vedeneho OSS projektu. Programatory mozna
zaujme nedavny post, ve kterem autor na zadost uzivatele shrnuje svoje
postupy:

http://article.gmane.org/gmane.network.openvpn.user/6809

-- 

\//\/\
(Sometimes credited as 1494 F8DD 6379 4CD7 E7E3 1FC9 D750 4243 1F05 9424.)



Další informace o konferenci Linux