В Птн, 12/12/2008 в 16:39 +0300, Artem Chuprina пишет: > Покотиленко Костик -> [email protected] @ Fri, 12 Dec 2008 > 13:46:22 +0200: > > >> >> > > VPN это отдельная печальная история и может создать намного больше > >> >> > > проблем, чем вариант с ssh. > >> >> > > >> >> > Например? > >> >> > >> >> Начиная от проблем с безопасностью > >> > >> ПК> Помню только одну проблему с безопасностью, которая и ssh касалась, > >> ПК> т.к. ода используют openssl. > >> > >> У openvpn проблема с безопасностью врожденная. Заключается она в том, > >> что аутентификацию он умеет, а авторизацию - нет. Ну, почти. > >> > >> >> и заканчивая настройкой с учетом параметров маршрутизаторов на пути > >> >> траффика - приходится эмпирически параметры подбирать, как уж там, > >> >> mtu вроде и проч. > >> > >> ПК> Вы про что? Не слышал такого. > >> > >> Про устройство IP в курсе? Словосочетание "фрагментирование пакетов" > >> слышал? Что будет, если попытаться затуннелировать пакет максимального > >> для данной физической сети размера, представляешь? > > ПК> Если попытаться затоннелировать пакет максимального для данной > ПК> физической сети размера, он пройдёт, а если размер пакета IP > ПК> превысит MTU - ICMP[Fragmentation needed] вернётся. Или, в случае с > ПК> VPN не так? Я с этим не сталкивался, поэтому если тут есть грабли - > ПК> выкладывайте. > > Тут есть три варианта: > > 1) PMTU discovery сработает. Все бы ничего, но делать его придется для > каждой сессии.
Разве для каждой сессии? > 2) Пакет таки порежут (если в случае TCP у пакета туннеля не стоит флаг > DF или он вообще не TCP). Поедет два пакета. Второй будет состоять из > заголовков по крайней мере наполовину На сколько я знаю, пакеты по дороге не режутся. Если IP пакет не пролазит, он выбрасывается, а обратно шлётся уведомление, или я не прав? > 3) "Продвинутые" сисадмины по дороге не слышали про PMTU, и вместо > возвращения Fragmentation needed пакет просто пропадет. Причём тут тоннель, при встрече с хостом с brain-dead администратором и без тоннеля будут проблемы. Которые PMTU как раз и решает, т.к. если есть Fragmentation needed, он обрабатывается штатным стеком без PMTU. > Разумная альтернатива - ограничить MTU на входе туннеля. Вручную, в > конфиге. О чем тебе и сказали. Как вариант, забить подходящее значение себе в шаблон конфига. -- Покотиленко Костик <[email protected]> -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
