>To, co server routuje urcuje predevsim directiva route. Predpokladam, ze >klient-to-klient je defacto route 0.0.0.0 0.0.0.0 a to bych za vyhru >nepovazoval. >Opravdu se maji predavat libovolne packety, ktere via ty tunnely prijdou?
Diky za nazor. Muzu se tedy zeptat v cem je z bezpečnostního hlediska problem v tom, co jsem popsal? Jsou tri situace, které resim: 1) spojuji dve nebo vice siti do WAN, potom me zajimai site za vsemi koncovymi body tunelu a resim to direktivou clinet-to-client + direktivou push route. Resim routovani mezi privatni siti a VPN. 2) pripojuji se klientem z obecneho internetu do lokalni site, opet potrebuji "jit az za VPN server" a opet pouziji direktivu client-to-client, muj klient bez dalšího nastaveni stejne nepreroutuje packety z lokalni site do tunelu. 3) pripojuji se klientem pouze na server (pop, imap apod.) a potom muzu zakazat client-to-client. Nechci se hadat, ale to co jsi napsal by znamenalo zmenu default routu do VPN a o tom rec nebyla, to by se mi samozrejme nelibilo. Pokud jsem to spravne vypozoroval client-to-client neudela na klientovi route add 0.0.0.0 do VPN, ale pouze route add VPN-net . Bez této direktivy udela pouze route add VPN-host. Na tom nic nebezpečného nevidim. >Ja bych na tvem miste venoval cas a ujasnil si ceho chces dosahnout a pak >pouzit adekvatni prostredek. >Ted to stoji vic casu, ale az bude nejaky maler, bude se ti mnohem lepe >resit s minimalizaci vlivu na dalsi >site (uzivatele). To prave delam. Venuji cas tomu, abych aspon trosku pochopil jak to funguje a prdevsim se to snažím udelat multiplatforme. O maler opravdu obavu nemam :o))) rat -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
