В Срд, 10/12/2008 в 20:59 +0300, Alexey Pechnikov пишет: > Hello! > > > > и заканчивая настройкой с учетом параметров маршрутизаторов на > > > пути траффика - приходится эмпирически параметры подбирать, как уж там, > > > mtu вроде и проч. > > > > Вы про что? Не слышал такого. > > В зависимости от провайдера приходится несколько настроек openvpn менять. Для > работы через > волгателеком - одни настройки, через стрим - другие и т.д. Это, к примеру, > tun-mtu, а также у > кого-то из провайдеров приходится опцию float добавлять, поскольку трафик > идет черт знает как и еще > есть несколько граблей.
Возможно, не встречался. > > > > > > > Не > > > > > говоря уже о создании сети более-менее сложной топологии, когда > > > > > продакшен и бэкапных серверов более чем по одному каждого и они в > > > > > разных сетях, причем каждый бэкапный может обращаться более чем к > > > > > одному продакшен и даже к другим бэкапным. > > > > > > > > В чем загвоздка? > > > > > > VPN сделан для схемы 1 сервер - много клиентов. А если есть десяток > > > серверов VPN, каждый со своей подсетью, и нужно с клиента одной подсети > > > получить доступ к клиенту другой? А если сервер VPN недоступен? И т.п. > > > > Давайте оговоримся, как я уже выше написал, VPN я предложил для решения > > не той проблемы. VPN, не для всех ситуаций одинаково хорош. Но "с > > клиента одной подсети получить доступ к клиенту другой" не сложно, если > > знаешь ccd, route, iroute... Это, конечно, усложняется тем, что надо > > адресацию глобально продумывать, но с этого всегда *начинать* надо. > > Сервера обычно расположены в сетях разных провайдеров, клиенты тоже. > Удаленный доступ к серверам > есть, к клиентам - нет. И топология сетей уж какая есть, и настройки на > клиентах менять нельзя - с > какой стати админ той или иной сети будет что-либо ломать в угоду > разработчикам? Не совсем въезжаю в ситуацию... Скажу так, я рассматриваю систему в целом: если есть сервер со своими сервисами и его надо бэкаприть, значит есть тот, кто его бэкапит. Они все вместе единая система, разработка которой включая топологию должна вестись комплексно. Конечно, если речь о том, что была система, мы её доработали как могли - тут всякие грабли хороши. > Можно менять > настройки на серверах (не знаю, как могут помочь ccd, route, iroute с сервака > в нижнем новгороде на > московский впн-трафик гонять через нескольких операторов по пути) и > отправлять клиентам новые > конфиги, все. ssh отлично с этой ситуацией справляется, притом для проброса > соединения требуется > одна команда и никаких настроек. Да, каждый порт пробрасывается отдельно, но > на практике все 65 > тысяч с гаком возможных портов явно не нужны. Зато топология сети может быть > совершенно > произвольной. Я обычно, для внутренних целей некого комплекса связки серверов использую приватные адреса, которые роутятся через vpn. Если Вы про это. -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
