$cd /dev/net
/dev/net :$ls -l
total 0
crw-rw-rw- 1 root root 10, 200 Oct 19 13:48 tun



если у вас там есть устройство tun
можете настраивать , если нету - трясите хостера чтобы загрузил модуль tun )

Нет. По дефолту tun в openvz не загружен, и изнутри виртуалки его не загрузить, равно как и любые другие модули. Курите устройство openvz.

Так я знаю что по-умолчанию не загружен. Вот и спрашиваю.

нельзя

А может-быть есть другой способ организовать что-то типа VPN туннеля? Чтобы не загружать модули на центральную ноду?

ssh+ port forward

+ прокся

да, через ssh можно туннель прокинуть

Так при поднятии того самого ssh тунеля как раз и поднимается тот самый tun-интерфейс, не?

нет

Странно. У меня как раз он и поднимается. Вручную конечно.

>У меня как раз он и поднимается. Вручную конечно.

/dev/net/tun ?
значит загружен модуль в ядро.
настраивайте openvpn

перенаправление портов через ssh tun/tap не использует.

Когда я настраиваю шифрованный ssh тунель с одного сервера на другой с заворотом трафика, я использую как раз tun0 интерфейсы виртуальные на обоих сервах и маршрутизирую трафик соответствующим образом.

кстати а почему все помешались на tun (L3) соединении?
имхо иногда tap (L2) может оказаться актуальнее

PS: Но это не на VPS'ках.

Надо попоробовать что за зверь такой.

это виртуальный бридж.
хотя все зависит от ситуации. если у вас 2 хоста , то лучше настраивайте соединение по схеме точка-точка

ну а виртуальный роутер (dev tun) сомневаюсь что вам нужен

А что надежнее/функциональнее/безопаснее/проще/быстрее?

tun интерфейсы использую исключительно для туннелирования трафа между сервами на разных хостингах с целью прозрачного «проксирования» трафа)))

серверов на хостинге много ? больше двух?

много, десятки и на разных хостингах.

просто если много , то попробуйте действительно поднять соединение бриджем.
Тогда все ваши сервера будут в одном броадкаст домене (локалке) , смогут обмениваться L2 трафиком.
И никакой маршрутизации между ними.

отлично, тогда попробуйте именно данный тип впн.

почитайте про него, вам придется немного изменить конфиг
dev tun на dev tap
server на server-bridge
но потом будет удобно.

Представьте себе как будто вы взяли свитч и подключили к нему все ваши серверы, назначили адреса (192.168.1.1 - для первого 192.168.1.2 - для второго итд..) В общем вы получите полноценную локальную сеть с возможностью обмена (L2) трафиком.

Спасибо огромное Вам за ответ. Надо побаловаться. Посмотреть конечно. Кстати, я заметил что tun-соединения малоустойчивы и часто рвуться. C tap'ом те же проблемы могут быть?

Попробуйте и сравните сами.
tap проще в реализации, так как в нем ,в отличии от tun нет виртуального роутера между клиентами.
Насчет обрывов ничего сказать не могу , так как фактором приводящих к ним довольно много.

так вроде tun настраивается как точка-точка. причем тут вирт. роутер?

у вас 10 серверов.
И вы используя tun соединяли каждый с каждым как точка-точка? У каждого сервера 9 tun интерфейсов для соединения каждый с каждым?

И tap опять таки потребует встраивания модуля в ядро центральной ноды.

все, я понял о чем Вы. просто я думал о другом. я представлял упрощеную схему: сервер-сервер. А tun у меня пока настроен только в одном месте, для проксирования одного из каналов. Пока только готовлюсь объединить, дозреваю так сказать.

> И вы используя tun соединяли каждый с каждым как точка-точка?

Зачем так? Всё равно весь траф идёт через центральный сервер - это аналогично при TUN и при TAP-интерфейсах: весь трафик пробрасывается сначала на сервак, потом уже «распозлается» по клиентам. Только в случае с TUN будет расходоваться по два адреса на одно подключение (адрес на клиента и адрес-минус-один на сервак), а в случае с TAP будет затрачен один адрес на одного клиента. Ну и при туннелировании надо разрешить клиентам «видеть» друг друга в настройках сервака - и не будет практически никакой разницы.

TUN - сервак как роутер
TAP - сервак как сетевой концентратор.

и всё :)

Браво. Спасибо за пояснение.

>Только в случае с TUN будет расходоваться по два адреса на одно подключение (адрес на клиента и адрес-минус-один на сервак)
то есть только у сервака будет много интерфейсов для соединения с каждым из клиентов?

впринципе да, ситуация реальная.
просто я никогда не настраивал соединение точка-точка,
а всегда использовал виртуальный роутер

> то есть только у сервака будет много интерфейсов для соединения с каждым из клиентов?

На самом серваке будет один так называемый серверный tun-интерфейс.
Например, моя боевая конфигурация (туннели посредством OpenVPN):

Мой ноут:

slavaz@notebook ~ $ ifconfig tun0
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:172.25.2.188 P-t-P:172.25.2.187 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:130 errors:0 dropped:0 overruns:0 frame:0
TX packets:182 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:17256 (16.8 KiB) TX bytes:16002 (15.6 KiB)

На примере tun0 можно увидеть адрес туннеля: 172.25.2.188 и адрес «другой стороны»: 172.25.2.187.

Это туннель, каким я вижу со стороны клиента. Теперь как туннель виден со стороны сервака:

[slavaz@colo2 ~]$ /sbin/ifconfig tun0
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:172.25.0.1 P-t-P:172.25.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:232 errors:0 dropped:0 overruns:0 frame:0
TX packets:82 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:30212 (29.5 KiB) TX bytes:11192 (10.9 KiB)

То есть, никакого адреса 172.25.2.187 нет и в помине. При этом вместе со мной ещё туча клиентовю

Интерфейс на стороне сервака как бы замкнут сам на себя, но при этом он обеспечивает подключение множества других туннелей. На серваке всего один интерфейс при множестве туннелей.

это и есть виртуальный роутер.
вы же используйте опцию server в конфиге сервера, не так ли ?

Как это работало у меня

server 10.0.0.1 ****** 10.0.0.2 virtual router 10.0.0.5 ******* 10.0.0.6 client

второй клиент подключался так :

virtual router 10.0.0.9 ****** 10.0.0.10 client2

минут один - расход адресов, потому что для точечного соединения используется подсеть /30 и как следствие 2 - адреса из 4 тратятся как адрес подсети и броадкаст. Но у вас какая-то фича (забыл как называется эта опция) которая позволяет экономить ip адреса. Но суть в принципе не меняется

А что же маршрутизирует на серваке другие подсети и интерфейсы клиентов?

Goodhoster.net

Берите у нас ВПС, мы Вам настроим openvpn ;-)

Спасибо конечно.