Автор Тема: Vtun ethernet тунел  (Прочетена 3522 пъти)

mavar

  • Напреднали
  • *****
  • Публикации: 61
    • Профил
Vtun ethernet тунел
« -: Nov 13, 2007, 19:37 »
Здравейте,

Искам да направя ethernet тунел между два хоста в интернет. Единият е с ядро 2.6.22.3 , а другия е с ядро 2.4.31. И двата хоста имат компилиран като модул TAP/TUN - драйвер, а също инсталиран vtund. Също така двата хоста се свързват към интернет чрез PPPoE и имат реални IP-та.
Този с 2.4.31 го конфигурирам като сървър:

# cat /etc/vtund.conf
options {
        type stand;
        port 5000;
        timeout 30;
        ifconfig /sbin/ifconfig;
        route /sbin/route;
        ip /sbin/ip;
        }
default {
   compress no;
   speed 0;
   }
lion   {
   passwd XXXXX;
 type ether;
   device tap0;
   proto udp;
 compress no;
   encrypt no;
   stat no;
   keepalive yes;
   up {
      ifconfig "%% 10.1.5.200 netmask 255.255.248.0";
      route "add -net 10.0.0.0 netmask 255.0.0.0 gw 10.1.0.2";
      };
   down {
      ifconfig "%% down";
        };
   }

Стартирам го с:

#vtund -s -f /etc/vtund.conf

Съответно другия хост е конфигуриран така:

# cat /etc/vtund.conf
options {
   type stand;
   port 5000;
   timeout 30;
   ifconfig /sbin/ifconfig;
   route /sbin/route;
   ip /sbin/ip;
   }
default {
   compress no;
   speed 0;
   }
lion   {
   passwd XXXXX;
   type ether;
   device tap0;
   proto udp;
   compress no;
   encrypt no;
   stat no;
   keepalive yes;
   up    {
      ifconfig "%% 10.1.5.200 netmask 255.255.248.0";
      route "add -net 10.1.0.0 netmask 255.255.248.0 gw 10.1.0.2";
      };
   down   {
      ifconfig "%% down";
      };
   }

... и го стартирам с:

# vtund -f /etc/vtund.conf lion host.ispprovider.bg

И на двата хоста се вдига интерфейс tap0 със съответстващото му IP от vtund.conf, също така 'netstat -nau' показва наличието на ESTABLISHED connection на порт 5000 по udp, но не мога да прекарам нищо по канала. Нямам пинг до хостовете от другата мрежа, в ARP-кеша няма нищо, което да се отнася за tap0.
Някой може ли да помогне? Крайната ми цел е да мога да се логна към AC-то на отсрещната мрежа, но на първо време искам да виждам другата мрежа през тунела.
Активен

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Vtun ethernet тунел
« Отговор #1 -: Nov 13, 2007, 20:54 »
Якооо....ip-over-ethernet-over-ip-over-ethernet...бахти, какъв е смисъла от такива работи...представям си едни прости arp заявки с какъв overhead идват '<img'> Съжалявам за грубата намеса де '<img'>
Активен

"Knowledge is power" - France is Bacon

Йордан

  • Напреднали
  • *****
  • Публикации: 1451
  • Distribution: Ubuntu / Gentoo
  • Window Manager: Gnome
  • не е важно колко ти е голяма пишката, а какво можеш с нея
    • Профил
    • WWW
Vtun ethernet тунел
« Отговор #2 -: Nov 14, 2007, 11:13 »
Ти хубаво си вдигаш интерфейса, но на къде се рутират пакетите?

route -n
tracepath IP-на-другата-машина

Това са според мен двете команди, които биха ти помогнали
Активен

Всеки пост - отговор на въпрос !!!

Йордан Георгиев
http://ygeorgiev.net/

mavar

  • Напреднали
  • *****
  • Публикации: 61
    • Профил
Vtun ethernet тунел
« Отговор #3 -: Nov 14, 2007, 12:14 »
Ако погледнеш конфигурационния файл ще видиш накъде се рутират. След като се вдига интерфейс, би трябвало хостовете от същата мрежа да са директно достъпни без да минават през GW. Поне като се логна на другата машина през ssh и пусна пинг към някой от хостовете те се появяват в ARP-кеша на tap0, но през тунела това не се случва.

Други идеи?
Активен

p3tzata_

  • Напреднали
  • *****
  • Публикации: 210
  • Distribution: Fedora
  • Window Manager: KDE
    • Профил
Vtun ethernet тунел
« Отговор #4 -: Nov 14, 2007, 17:26 »
Други идеи -OpenVPN



Активен

Никое ДОБРО не води до ДОБРО и никое ЗЛО не води до ЗЛО.

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Vtun ethernet тунел
« Отговор #5 -: Nov 14, 2007, 19:49 »
Да, аз имам идея, няколко идеи де. Просто конфигурациите са грешни. Покрай това, също така това не е достатъчно.

И причината е, че според мен не си разбрал идеята на нещата.

И сега според мен - най-простият случай, в който на двата endpoint-a на тунела не се задават адреси на tap интерфейсите и нещата се решават с бриджинг. Така наистина ще имаш "прозрачно" свързване на двете мрежи, без да се тормозиш с рутиране и задаване на частни адреси на двете страни на тунела.

Първо като гледам, вдигаш един и същ адрес на 2-та tap интерфейса, а това не се прави така. Командата за вдигане на тунела (в случаят) е нещо от сорта на

ifconfig %% up

само това си стига.

Оттам нататък всичко, което остава е да си направиш по един bridge интерфейс на двете машини, като бридж-ваш tap0 интерфейса и етернет интерфейса във "вътрешния ЛАН". Това става лесно с brctl, дори е препоръчително бридж-а да го вдигаш заедно с тунела. Нямаш си идея колко по-лесно става така.

ЕДИТ: щях да забравя, трябва в случаят да вдигнеш на br0 интерфейса от двете страни някакъв адрес в един и същ събнет, разбира се..иначе опитът ще пропадне '<img'>

И другият вариант: вдигаш point-to-point tap интерфейса, с по един "remote" и един "local" адрес и слагаш по един маршрут до нужните събнети през point-to-point интерфейса. Така обаче реално двете страни не са ти в един събнет, а имаш 2 събнета и рутиране. И това за по-големи събнети е всъщност идейно, защото ще си спестиш поне много безсмислен broadcast трафик от сорта на АРП запитванки. Разбира се, в този случай точно етернет тунел е глупава идея заради overhead-a, но пак става в крайна сметка, поне имаш някаква автентикация от страна на vtun.

Апропо, в твоят случай очевидно си се опитвал да правиш нещо подобно...ама си виж маските и познай всичко за remote мрежата откъде ще се опита да излезе...ммм отникъде (всъщност не, вероятно ще се пробва през интерфейса, който знае за твоя default gw..предполагам). Много логично е дори ARP entries да нямаш за tap интерфейса, ядрото грам си няма идея, че трябва да се пробва през този интерфейс да ти изкарва ARP request-ите. Между другото, с tcpdump може да се разбере '<img'>

И...понякога четенето е по-добра идея от следването на разни guides и пригаждането им за твоите си цели, без да се обиждаш де '<img'>



Активен

"Knowledge is power" - France is Bacon

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Ethernet problem
Настройка на програми
alabal 0 1638 Последна публикация Aug 15, 2003, 14:02
от alabal
Ethernet problem
Настройка на програми
alabal 2 2367 Последна публикация Aug 16, 2003, 21:28
от alabal
3 ethernet cards проблем
Настройка на програми
chonny 5 3188 Последна публикация Jul 06, 2004, 19:21
от
Ethernet мониторинг
Системна Сигурност
bot 9 4437 Последна публикация Jul 04, 2011, 16:59
от c111100101
Ethernet to serial gateway помощ !!!
Общ форум
athena 10 5116 Последна публикация Mar 21, 2013, 13:13
от ivo1204