routovani s openVPN

[Radomir Tomanek]

>To, co server routuje urcuje predevsim directiva route. Predpokladam, ze
>klient-to-klient je defacto route 0.0.0.0 0.0.0.0 a to bych za vyhru
>nepovazoval.
>Opravdu se maji predavat libovolne packety, ktere via ty tunnely prijdou?


Diky za nazor. Muzu se tedy zeptat v cem je z bezpečnostního hlediska
problem v tom, co jsem popsal? Jsou tri situace, které resim:
1) spojuji dve nebo vice siti do WAN, potom me zajimai site za vsemi
koncovymi body tunelu a resim to direktivou clinet-to-client + direktivou
push route. Resim routovani mezi privatni siti a VPN.
2) pripojuji se klientem z obecneho internetu do lokalni site, opet
potrebuji "jit az za VPN server" a opet pouziji direktivu client-to-client,
muj klient bez dalšího nastaveni stejne nepreroutuje packety z lokalni site
do tunelu.
3) pripojuji se klientem pouze na server (pop, imap apod.) a potom muzu
zakazat client-to-client.
Nechci se hadat, ale to co jsi napsal by znamenalo zmenu default routu do
VPN a o tom rec nebyla, to by se mi samozrejme nelibilo. Pokud jsem to
spravne vypozoroval client-to-client neudela na klientovi route add 0.0.0.0
do VPN, ale pouze route add VPN-net . Bez této direktivy udela pouze route
add VPN-host. Na tom nic nebezpečného nevidim.


>Ja bych na tvem miste venoval cas a ujasnil si ceho chces dosahnout a pak
>pouzit adekvatni prostredek.
>Ted to stoji vic casu, ale az bude nejaky maler, bude se ti mnohem lepe
>resit s minimalizaci vlivu na dalsi
>site (uzivatele).

To prave delam. Venuji cas tomu, abych aspon trosku pochopil jak to funguje
a prdevsim se to snažím udelat multiplatforme. O maler opravdu obavu nemam
:o)))



rat