[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: sudo ws root

Покотиленко Костик -> debian-russian@lists.debian.org  @ Fri, 12 Dec 2008 16:12:58 +0200:

 >>  >>  >> > > VPN это отдельная печальная история и может создать намного больше
 >>  >>  >> > > проблем, чем вариант с ssh.
 >>  >>  >> >
 >>  >>  >> > Например?
 >>  >>  >> 
 >>  >>  >> Начиная от проблем с безопасностью
 >>  >> 
 >>  >>  ПК> Помню только одну проблему с безопасностью, которая и ssh касалась,
 >>  >>  ПК> т.к.  ода используют openssl.
 >>  >> 
 >>  >> У openvpn проблема с безопасностью врожденная.  Заключается она в том,
 >>  >> что аутентификацию он умеет, а авторизацию - нет.  Ну, почти.
 >>  >> 
 >>  >>  >>  и заканчивая настройкой с учетом параметров маршрутизаторов на пути
 >>  >>  >> траффика - приходится эмпирически параметры подбирать, как уж там,
 >>  >>  >> mtu вроде и проч.
 >>  >> 
 >>  >>  ПК> Вы про что? Не слышал такого.
 >>  >> 
 >>  >> Про устройство IP в курсе?  Словосочетание "фрагментирование пакетов"
 >>  >> слышал?  Что будет, если попытаться затуннелировать пакет максимального
 >>  >> для данной физической сети размера, представляешь?
 >> 
 >>  ПК> Если попытаться затоннелировать пакет максимального для данной
 >>  ПК> физической сети размера, он пройдёт, а если размер пакета IP
 >>  ПК> превысит MTU - ICMP[Fragmentation needed] вернётся. Или, в случае с
 >>  ПК> VPN не так? Я с этим не сталкивался, поэтому если тут есть грабли -
 >>  ПК> выкладывайте.
 >> 
 >> Тут есть три варианта:
 >> 
 >> 1) PMTU discovery сработает.  Все бы ничего, но делать его придется для
 >> каждой сессии.

 ПК> Разве для каждой сессии?

Угу.  PMTU же для разных P, вообще говоря, разный.

 >> 2) Пакет таки порежут (если в случае TCP у пакета туннеля не стоит флаг
 >> DF или он вообще не TCP).  Поедет два пакета.  Второй будет состоять из
 >> заголовков по крайней мере наполовину

 ПК> На сколько я знаю, пакеты по дороге не режутся. Если IP пакет не
 ПК> пролазит, он выбрасывается, а обратно шлётся уведомление, или я не
 ПК> прав?

Не прав.  Совершенно.  Чтобы пакет не фрагментировали, об этом надо
специально просить.  Причем, если я правильно помню, это даже не IP, а
TCP флаг.  Т.е. попросить не фрагментировать UDP- или ESP-пакет просто
не получится.  Правда, в этом я уже не уверен.

 >> 3) "Продвинутые" сисадмины по дороге не слышали про PMTU, и вместо
 >> возвращения Fragmentation needed пакет просто пропадет.

 ПК> Причём тут тоннель, при встрече с хостом с brain-dead
 ПК> администратором и без тоннеля будут проблемы. Которые PMTU как раз
 ПК> и решает, т.к. если есть Fragmentation needed, он обрабатывается
 ПК> штатным стеком без PMTU.

Данная проблема бывает ровно от соединения PMTU discovery с brain-dead
администратором.  По отдельности оно не ломается.  И поскольку хану мы
не лечим, то чинить можно только зажиманием MTU.

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

Win-юзеры - это типа Win-модемов и Win-принтеров: такие же юзеры, но попроще,
без мозгов и памяти на борту.
	http://www.livejournal.com/~dottedmag/158509.html
Reply to: