VPN mellom noder som ikke kan nå hverandre med radio
Jesper Henriksen
jesper at catnet.dk
Wed Dec 4 19:49:19 CET 2013
On Wed, Dec 04, 2013 at 01:48:16PM +0100, Petter Reinholdtsen wrote:
> Har du noen ide til hvordan vi vurderer hvilken VPN-løsning som er
> smart?
Desverre ikke. Utover selvsagt å sette dem opp og kanskje kjøre
båndbredde-test eller lignende.
> Jeg har testet ppp over ssh og tinc, og ingen av
> nettgrensesnittene som disse laget kunne gis direkte til "batctl if
> add <grensesnitt>" slik jeg håpet å gjøre. Må vi koble sammen på
> IP-nivå hvis vi skal bruke tunneller, eller finnes det noen som kan
> jobbe på lag 2? Jeg har forsøkt det siste uten å lykkes så langt.
tinc skal ha det de kaller "switched mode", fungerer på lag 2. Det er
lenge siden jeg sist brukte tinc, og da bare kortvarigt, så jeg husker
ikke akkurat hvordan. Med openvpn oppnås det med "dev tap" eller
eventuellt "dev foobar" samt "dev-type tap" for valgfritt navn.
Det er ikke nødvendig å blande ssh eller ppp inn i det.
> Hvilke av dem fungerer greit med maskiner uten offentlige IP-adresser,
> dvs. på innsiden av NAT og lignende? Antar i hvert fall en sidene i
> en tunnell må ha offentlig IP-adresse for at dette skal fungere
> overhodet. :)
Openvpn funker fint så lenge den sentrale server kan nåes på offentlig
IP, også selvom det betyr port forwarding gjennom NAT. Så vidt jeg
husker er det samme tilfellet for tinc.
Forøvrigt velger man med openvpn selv om man vil bruke udp (anbefalt)
eller tcp. Selv kjører jeg to server instanser, en på tcp og en på udp.
Klientene er satt opp til å prøve udp først, deretter tcp. Det gir meg
optimal mulighet for å forbinne, også fra veldig lukkede nett der fx
bare tcp port 80 og 443 er tillatt. Tinc bruker så vidt jeg husker tcp
til oppsetting av forbinnelse og udp (når det er muligt) til
data/payload.
--
Jesper Henriksen
More information about the dugnadsnett
mailing list