GNU Virtual Private Ethernet 2.2

Умеет ли OpenVPN гонять мультикасты через свой VPN?

а где статъя о Google Chrome???

> Товариш не дочитал доку по OpenVPN - вот интересно как у меня работает линк с вирутальным зернетом между офисами? каждый офис имеет один tap девайс и спокойно общается с остальными 5ю.. и трафик не попадает к серверу, только авторизуется на сервере.. чудеса ? В топку это глюкавое поделие.

Для онанимусов, не читающих маны, цитата из man openvpn:

--client-to-client Because the OpenVPN server mode handles multiple clients through a single tun or tap interface, it is effectively a router. The --client-to-client flag tells OpenVPN to internally route client-to-client traffic rather than pushing all client-originating traffic to the TUN/TAP interface.

When this option is used, each client will "see" the other clients which are currently connected. Otherwise, each client will only see the server. Don't use this option if you want to firewall tunnel traffic using custom, per-client rules.

OpenVPN всегда трафик, идущий между клиентами, пропускает через сервер. Клиенты между собой напрямую никогда не контактируют.

В gvpe - сервера нет, пиры контактируют непосредственно друг с другом.

как вы меня задалбали: ничерта не можете прочитать man , и пишете тут ДРУГ ДРУГУ ПРОТЕВОРЕЧИЩЩИЕ вещщи .... неужеле мне самому придётся этот man читать .. =/

Это все средствами VLAN делается. Накуй нужен этот детский сад?

Ах, ну да. Детям в старкрафт по Инету погонять.

>и трафик не попадает к серверу, только авторизуется на сервере.. чудеса ? В топку это глюкавое поделие.

сам ты чудесо. а если сервер лег? а если его в лом настраивать?

вообще, нахрена авторизовать что то на сервере, если потом эту инфу надо гнать peerу и там авторизовать что это от сервера?

почему низя авторизовать напрямую?

>Это все средствами VLAN делается.

примеры будут?

VLAN к сабжевым задачам - НИКАКОГО отношения не имеет. что бы это "Это" не означало.

p.s. есть КУЧА примеров бузинесс решений-приложений,кторые ОЧЕНЬ сильно выиграли бы от подобной возможности организовать взаимодействие. вместо огороживания S-"клонов" на уровнях от прикладного до физического(OSI).

Будут. свитчи http://www.nag.ru/2005/0510/0510.shtml

>Будут. свитчи http://www.nag.ru/2005/0510/0510.shtml

мне хотелось примеров VLAN поверх IP

а я хочу бутербродик с колбаской .. люди добрые , дайте покушать .... *жалобные-глаза*

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtunvlan.html#...

http://www.cisco.com/en/US/netsol/ns341/ns396/ns172/ns155/networking_solution...

>http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtunvlan.html#...

Standards Title

No new or modified standards are supported by this feature. Support for existing standards has not been modified by this feature.

я думаю, комментарии излишни

Да думай что хочешь. Эта програмулька реальна только для сетей класса ну очень маленький офис. И то работает не совсеми L2 хотя бы как тот же L2VPN у CISCO IPX хоть гоняет эта програмулька, а то и документация нулевая даже.

В принципе как и весь опенсурс. ;) Не думаю, что в серьезных организациях будут что то типа этого строить.

Документацию предыдущий оратор не нашёл. Однако, найти её легко, следовательно он даже не искал. Следовательно, не основывает свои слова на реальном знании того, что собственно из себя эта программулька представляет. Следовательно, он пустозвон.

>почему низя авторизовать напрямую?

Простите за ламерский вопрос... У меня в сети есть принтеры с собственным IP адресом (локальным). Возможна ли печать с хоста из другой сети на мой принтер? Или так - я работаю в программе на другом хосте, а печатаю на своем принтере? Или лучше все-таки использовать NX сервер?

>Для тех, кто в танке, повторяю: OpenVPN создаёт туннель point-to-point, GVPE создаёт point-to-many. Разница понятна?

Тут ты неправ.

tun для point to point

tap для point to multi point

У меня как раз tap поднят.

Ты вот что скажи - можешь схему отрисовать как идут соединения, например, на четырех клиентов?

Описание какое-то куцее. Я верно понимаю, что помимо openvpn'овского "точка-точка" и "звезда" эта штука умеет концы "звезды" соединять не используя центральную точку для прохождения трафика?

Т.е.

Openvpn:

P1----P2

и

P1---Server---P3
       |
       |
       P2

GVPE:

P1---Server---P3
|      |      |
|      |      |
+------P2-----+

Т.е. трафик от P1 идет, к примеру, напрямую к P2, а с сервера только адрес куда его проводить?

>Это все средствами VLAN делается. Накуй нужен этот детский сад?

VLAN есть не везде.

>Возможна ли печать с хоста из другой сети на мой принтер?

Конечно. В чем проблема? Пробрось туда маршрут и укажи на своей машине шлюз до этой сетки.

Так, как трафик идет, разобрались.

Посему два вопроса:

1. Я верно понимаю, что каждому узлу, чтобы трафик ходил между ними, требуется реальный ip-адрес?

2. Эта штука работает похожим на OpenVPN образом? Т.е. GRE не надо? Можно ли прокидывать через 443-й порт, прокси и т.п.?

>VLAN есть не везде.

Надобность в этой программе есть только если есть у клиентов прямые адреса в Инете. Ну типа .... дядя законектился и решил с племяшкой в игрушку поиграть по тому же самому IPX, если эта тулза еще может действительно Ethernet инкапсулировать, но судя по бедному описанию все ограничивается одним IP. VLAN же есть во всех более менее крупных организациях, а мутить такое через это...плюс ко всему еще и иметь ограничения.

вопрос: у него, как у опенвпн, есть виндовая версия?

Там одни исходники лежат... Типа собери сам, но как тут уже писали, не может найти нужных библиотек при компиляции.

Получается, что в случае опенвпн, выделенный(внешний) ип нужен только для сервера, для сабжа - во всех случаях, если хотим коннектит клиентов?

Судя по их официальному сайту ставить не стоит. Сайт полное дерьмо. И назван по олбански savan nah :)))))))). Номер версии удивил, интересно, есть ли дистр, внесший GNU VPE в свой официальный репозиторий?

Ну а по другому они не смогут прокидывать пакеты друг другу.

>Ну а по другому они не смогут прокидывать пакеты друг другу.

Отсюда логический вывод: офисы им еще приятно связывать, но клиентов по прежнему лучше держать на openvpn, ибо мультиплатформенность и все такое.

Логический вывод-это не GVE и он не нужен. Офисы так же можно связывать по впн.

>>Отсюда логический вывод: офисы им еще приятно связывать

Иерархия однако. Централизация данных и все такое. В 90 процентах случаев связь подчиненных офисов меж собой избыточна.

Ну а ежели это действительно нужно.. Сосбно прежде чем оно заработает это надо как минимум развернуть на всех точках, а затем резко обменяться ключиками. В идеале скриптег + опенвпн должно спасти отцов русской демократии.

> Т.е. трафик от P1 идет, к примеру, напрямую к P2, а с сервера только адрес куда его проводить?

У gvpe вообще нету сервера -- все узлы равноправны. В твоей схеме вместо "Server" пиши P4. Получается связный граф, где связь "любой с любым" (впрочем, если требуется -- можно роутить трафик для одного узла через другой средствами самого GVPE).

Ну и конфиги выглядят соответственно: просто вписываешь туда адреса всех узлов и синкаешь тупо везде, вместе с открытыми ключами всех узлов.

> 1. Я верно понимаю, что каждому узлу, чтобы трафик ходил между ними, требуется реальный ip-адрес?

По-моему, необязательно. Но, естественно, пока из-за NAT узел не соединится с другими, до него не достучаться.

> 2. Эта штука работает похожим на OpenVPN образом? Т.е. GRE не надо? Можно ли прокидывать через 443-й порт, прокси и т.п.?

Там несколько видов туннелей на выбор: UDP, TCP, DNS, HTTP, RawIP.

Я не понял- аффторы этой поделки не осилили IPSec? И вместо стандартного решения решили сгородить что-то свое, никому нах не нужное?

>Он уже почти год у меня в production используется.

Ну так и что с того? У меня когда-то тоже самописный VPN сервис в небольших сетях использовался, а-ля production. Он, кстати, также поддерживал возможности, имеющееся в GVPN, равно, как и возможности OpenVPN.. Не в полном объёме, разумеется.. Работал вполне себе стабильно, только недоделан был слегка.. конфигурация ужасная, отсутствие документации, некоторые своеобразности и полуреализованная функциональность некоторых возможностей.. Вообщем, использовать можно, но до релиза не дорос. Данный проект, безусловно, находится в лучшем состоянии, но, всё же, ещё достаточно сыроват.

> Данный проект, безусловно, находится в лучшем состоянии, но, всё же, ещё достаточно сыроват.

И чего там сырого? Всё, что заявлено, нормально работает, не падает. Документация есть (кажется, только мануал, но его хватает).

угу,а авторы поделки "IPSec" - ниасилили IPv6.

p.s. следуя "логике".

"оффисы" - нельзя. можно - только их гейты. что немаленькая,но - РАЗНИЦА.

>Я не понял- аффторы этой поделки не осилили IPSec?

ipsec штука хорошая, но через что попало не прокинешь.