[Discuss] vpn tunnel

Bernd Petrovitsch (spam-protected)
Do Jan 19 11:25:43 CET 2006


On Wed, 2006-01-18 at 18:18 +0100, Markus Kittenberger wrote:
[...]
> Um das Netz stabiler zu machen sollten wir uns eine sowieso etwas kluges
> bzgl. nating etc überlegen

Es ist ein Ziel "echte" IP-Adressen am Ende zu haben (wenn man das
will). Damit müssen die mal erhalten bleiben.
"Uplink Sponsoren" kann dann (IP-technisch) im einfachen Fall 2 Formen
annehmen - siehe andere Mail.
"Alles über den VPN" Tunnel hat den (mbMn gravierenden) Nachteil, daß
wenn ich z.B. im Inode Netz häng und der Server, von dem ich sauge auch,
daß der Traffic halt am jetzigen 0xFF-Uplink rein und rausgeht, obwohl
Source und Destination beim gleichen Provider sind.
Da ist "NAT lokal" raus mbMn das kleinere Übel.

3. Möglichkeit: Mit 0xFF-IP-Adressen über einen Uplink direkt
rauszugehen (so wie am Vivi) erfordert zwingend, daß Du (bzw. eigentlich
0xFF) BGP4 mit dem Uplink-Provider bei Dir spricht (und ich es gibt mWn
noch keine Erfahrungsberichte, ob und wie verschiedene Provider
reagieren, wenn man am Helldesk mit "Ich würde gerne BGP4 mit euch
sprechen." deponiert). Ob der dann 0xFF-Netze auch nach außen announcet
(und damit Transit zuläßt oder nur rein/rausläßt) oder nicht, ist dann
schon das kleinere Problem.

> Ist halt seltsam wenn man manchmal hinter ner Firewall hängt und
> manchmal ne offizielle IP hat (je nachdem über welchen uplink man
> rausgeht)

Ja, aber mbMn sollte man das so gut wie selten bis nie merken. Mit SIP
o.ä. komplexen Prokollen wird es zwar mehr Probleme geben können wie mit
http, aber man kann nicht alles haben.

> Aber falls das vivi ausfällt ist eigentlich immer noch besser geNATetes
> Internet zu haben als keines

Yup. Du kannst auch immer NATten, wenn Du keine Unterschied haben
willst.

	Bernd
-- 
Firmix Software GmbH                   http://www.firmix.at/
mobil: +43 664 4416156                 fax: +43 1 7890849-55
          Embedded Linux Development and Services




Mehr Informationen über die Mailingliste Discuss