* [Comm] Криптованый сжатый туннель
@ 2004-01-11 12:58 Денис Смирнов
2004-01-11 13:09 ` [Comm] " Konstantin A. Lepikhov
` (3 more replies)
0 siblings, 4 replies; 11+ messages in thread
From: Денис Смирнов @ 2004-01-11 12:58 UTC (permalink / raw)
To: community
Чем можно организовать сжатый туннель (для экономии траффика)? Есть
машинка на хостинге, там стоимость траффика резко отличается от стоимости
траффика в офисе, да и канал до офиса тонкий -- траффик экономить полезно.
Кроме того хочу иметь возможность (на будущее) находясь где угодно
воткнуться ноутбуком в сеть, поднять туннель, и после этого не бояться за
перехват данных.
В ту же степь -- через этот же туннель я собираюсь соединяться с офисной
сетью (мне будут нужны внутренняя почта, которая лежит на внутреннем
и наш web-сервер).
--
С уважением, Денис
http://freesource.info
^ permalink raw reply [flat|nested] 11+ messages in thread
* [Comm] Re: Криптованый сжатый туннель
2004-01-11 12:58 [Comm] Криптованый сжатый туннель Денис Смирнов
@ 2004-01-11 13:09 ` Konstantin A. Lepikhov
2004-01-11 15:20 ` Pavel S. Khmelinsky
2004-01-11 15:28 ` Денис Смирнов
2004-01-11 14:14 ` [Comm] " Andrey Orlov
` (2 subsequent siblings)
3 siblings, 2 replies; 11+ messages in thread
From: Konstantin A. Lepikhov @ 2004-01-11 13:09 UTC (permalink / raw)
To: community
Hi Денис!
Sunday 11, at 03:58:56 PM you wrote:
> Чем можно организовать сжатый туннель (для экономии траффика)? Есть
> машинка на хостинге, там стоимость траффика резко отличается от стоимости
> траффика в офисе, да и канал до офиса тонкий -- траффик экономить полезно.
>
> Кроме того хочу иметь возможность (на будущее) находясь где угодно
> воткнуться ноутбуком в сеть, поднять туннель, и после этого не бояться за
> перехват данных.
>
> В ту же степь -- через этот же туннель я собираюсь соединяться с офисной
> сетью (мне будут нужны внутренняя почта, которая лежит на внутреннем
> и наш web-сервер).
>
vtun?
--
WBR, Konstantin chat with ==>ICQ: 109916175
Lepikhov, speak to ==>JID: lakostis@jabber.org
aka L.A. Kostis write to ==>mailto:lakostis@pisem.net.nospam
...The information is like the bank... (c) EC8OR
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Криптованый сжатый туннель
2004-01-11 12:58 [Comm] Криптованый сжатый туннель Денис Смирнов
2004-01-11 13:09 ` [Comm] " Konstantin A. Lepikhov
@ 2004-01-11 14:14 ` Andrey Orlov
2004-01-11 15:27 ` [Comm] " Денис Смирнов
2004-01-11 20:44 ` [Comm] " Anton Noginov
2004-01-15 10:47 ` Maxim Tyurin
3 siblings, 1 reply; 11+ messages in thread
From: Andrey Orlov @ 2004-01-11 14:14 UTC (permalink / raw)
To: community
On Sunday 11 January 2004 15:58, Денис Смирнов wrote:
> Чем можно организовать сжатый туннель (для экономии траффика)? Есть
> машинка на хостинге, там стоимость траффика резко отличается от стоимости
> траффика в офисе, да и канал до офиса тонкий -- траффик экономить полезно.
На ALM22 я юзал ipsec (freeswan), насколько он работоспособен сейчас - не знаю.
Решение хорошее, но несколько громоздкое. Кроме того с некоторыми провайдерами
разговоры про 54 протокол можно не довести до конца умерев от хохота.
Не буду грить про всякие pppoe и l2tp - так как не имея особых преимуществ перед IPSEC,
обладают той же громоздкостью.
Другой вариант - пакетик autossh. Это не совсем ip-тонель, но во многих случаях более
адекватен задаче и проще объяснить провайдеру, чего от него хотят.
--
WthBstRgrds -- Андрей Орлов --
--- http: www.neural.ru, mail: cray@neural.ru, jid: cray@altlinux.org ---
----------------------------------------
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Re: Криптованый сжатый туннель
2004-01-11 13:09 ` [Comm] " Konstantin A. Lepikhov
@ 2004-01-11 15:20 ` Pavel S. Khmelinsky
2004-01-11 18:22 ` Konstantin A. Lepikhov
2004-01-11 15:28 ` Денис Смирнов
1 sibling, 1 reply; 11+ messages in thread
From: Pavel S. Khmelinsky @ 2004-01-11 15:20 UTC (permalink / raw)
To: community
Konstantin A. Lepikhov wrote:
> Hi Денис!
>
> Sunday 11, at 03:58:56 PM you wrote:
>
>
>>Чем можно организовать сжатый туннель (для экономии траффика)? Есть
>>машинка на хостинге, там стоимость траффика резко отличается от стоимости
>>траффика в офисе, да и канал до офиса тонкий -- траффик экономить полезно.
>>
>>Кроме того хочу иметь возможность (на будущее) находясь где угодно
>>воткнуться ноутбуком в сеть, поднять туннель, и после этого не бояться за
>>перехват данных.
>>
>>В ту же степь -- через этот же туннель я собираюсь соединяться с офисной
>>сетью (мне будут нужны внутренняя почта, которая лежит на внутреннем
>>и наш web-сервер).
>>
>
> vtun?
А он у Вас под ALM работает? У меня в свое время успешно работала
связка Redhat сервер и ALM2.2 клиент. После того как сервер я
перевел на ALM работать перестало и запустить так и не удалось.
^ permalink raw reply [flat|nested] 11+ messages in thread
* [Comm] Re: Криптованый сжатый туннель
2004-01-11 14:14 ` [Comm] " Andrey Orlov
@ 2004-01-11 15:27 ` Денис Смирнов
2004-01-11 21:16 ` Andrey Orlov
2004-01-12 12:44 ` Michael Bykov
0 siblings, 2 replies; 11+ messages in thread
From: Денис Смирнов @ 2004-01-11 15:27 UTC (permalink / raw)
To: community
On Sun, Jan 11, 2004 at 05:14:12PM +0300, Andrey Orlov wrote:
> Решение хорошее, но несколько громоздкое. Кроме того с некоторыми провайдерами
> разговоры про 54 протокол можно не довести до конца умерев от хохота.
?
> Другой вариант - пакетик autossh. Это не совсем ip-тонель, но во многих случаях более
> адекватен задаче и проще объяснить провайдеру, чего от него хотят.
Не понял, а причём тут провайдер? Мне нужно независимое от провайдера
решение, работающее везде, где есть "интернет-розетка". А зачем для
ssh-туннеля помощь провайдера?
Кроме того если вы имеете ввиду ppp over ssh, да и вообще ip over ssh то
это очень плохо, очень-очень плохо.
Фишка в том, что у tcp есть повтор передачи пакетов по таймауту (если не
получено подтверждение). При, например, ретрейне у модема, или перегрузке
канала получается следующее -- для tcp-соединения туннеля (например ssh)
по таймауту пакетик во время затыков передаётся повторно. Это немного
неприятно, но не смертельно. Но точно то же самое делается с пакетами по
соединениям, идущим через этот туннель. Рещультат этого -- ещё большая
перегрузка канала (а значит увеличение задержек), следствием которого
может быть просто перегруз канала повторами tcp-пакетов, а также этими же
повторами, но идущими через туннель (т.е. заведомо лишними). И как
бороться с этим я себе, честно говоря, мало представляю (если используется
сжатие данных и/или шифрование данных).
--
С уважением, Денис
http://freesource.info
^ permalink raw reply [flat|nested] 11+ messages in thread
* [Comm] Re: Криптованый сжатый туннель
2004-01-11 13:09 ` [Comm] " Konstantin A. Lepikhov
2004-01-11 15:20 ` Pavel S. Khmelinsky
@ 2004-01-11 15:28 ` Денис Смирнов
1 sibling, 0 replies; 11+ messages in thread
From: Денис Смирнов @ 2004-01-11 15:28 UTC (permalink / raw)
To: community
On Sun, Jan 11, 2004 at 04:09:21PM +0300, Konstantin A. Lepikhov wrote:
>> В ту же степь -- через этот же туннель я собираюсь соединяться с офисной
>> сетью (мне будут нужны внутренняя почта, которая лежит на внутреннем
>> и наш web-сервер).
> vtun?
Возможно, попробую.
--
С уважением, Денис
http://freesource.info
^ permalink raw reply [flat|nested] 11+ messages in thread
* [Comm] Re: Криптованый сжатый туннель
2004-01-11 15:20 ` Pavel S. Khmelinsky
@ 2004-01-11 18:22 ` Konstantin A. Lepikhov
0 siblings, 0 replies; 11+ messages in thread
From: Konstantin A. Lepikhov @ 2004-01-11 18:22 UTC (permalink / raw)
To: community
Hi Pavel!
Sunday 11, at 06:20:28 PM you wrote:
> Konstantin A. Lepikhov wrote:
> >Hi Денис!
> >
> >Sunday 11, at 03:58:56 PM you wrote:
> >
> >
> >>Чем можно организовать сжатый туннель (для экономии траффика)? Есть
> >>машинка на хостинге, там стоимость траффика резко отличается от стоимости
> >>траффика в офисе, да и канал до офиса тонкий -- траффик экономить полезно.
> >>
> >>Кроме того хочу иметь возможность (на будущее) находясь где угодно
> >>воткнуться ноутбуком в сеть, поднять туннель, и после этого не бояться за
> >>перехват данных.
> >>
> >>В ту же степь -- через этот же туннель я собираюсь соединяться с офисной
> >>сетью (мне будут нужны внутренняя почта, которая лежит на внутреннем
> >>и наш web-сервер).
> >>
> >
> >vtun?
>
> А он у Вас под ALM работает? У меня в свое время успешно работала
> связка Redhat сервер и ALM2.2 клиент. После того как сервер я
> перевел на ALM работать перестало и запустить так и не удалось.
Отлично работает. Но под Сизифовским ядром (не суть важно, afair модуль
tun есть везде, да и собрать его не проблема). И с указанными проблемами
вполне справляется - жмет трафик, туннель есть, шифрование тоже + главное
- можно работать как поверх tcp на любом порту, так и udp (тоже на любом
порту). Если сравнивать с ipsec - в разы понятнее/логичнее в настройке.
--
WBR, Konstantin chat with ==>ICQ: 109916175
Lepikhov, speak to ==>JID: lakostis@jabber.org
aka L.A. Kostis write to ==>mailto:lakostis@pisem.net.nospam
...The information is like the bank... (c) EC8OR
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Криптованый сжатый туннель
2004-01-11 12:58 [Comm] Криптованый сжатый туннель Денис Смирнов
2004-01-11 13:09 ` [Comm] " Konstantin A. Lepikhov
2004-01-11 14:14 ` [Comm] " Andrey Orlov
@ 2004-01-11 20:44 ` Anton Noginov
2004-01-15 10:47 ` Maxim Tyurin
3 siblings, 0 replies; 11+ messages in thread
From: Anton Noginov @ 2004-01-11 20:44 UTC (permalink / raw)
To: community
On Sun, Jan 11, 2004 at 03:58:56PM +0300, Денис Смирнов wrote:
>
> Чем можно организовать сжатый туннель (для экономии траффика)? Есть
> машинка на хостинге, там стоимость траффика резко отличается от стоимости
> траффика в офисе, да и канал до офиса тонкий -- траффик экономить полезно.
ssh + pppd
--
Anton Noginov toxa@office.east.ru +7-095-956-4951
East Telecom ISP, Moscow, Russia. http://www.east.ru
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Re: Криптованый сжатый туннель
2004-01-11 15:27 ` [Comm] " Денис Смирнов
@ 2004-01-11 21:16 ` Andrey Orlov
2004-01-12 12:44 ` Michael Bykov
1 sibling, 0 replies; 11+ messages in thread
From: Andrey Orlov @ 2004-01-11 21:16 UTC (permalink / raw)
To: community
On Sunday 11 January 2004 18:27, Денис Смирнов wrote:
> > Другой вариант - пакетик autossh. Это не совсем ip-тонель, но во многих
> > случаях более адекватен задаче и проще объяснить провайдеру, чего от
> > него хотят.
> > Не понял, а причём тут провайдер? Мне нужно независимое от провайдера
> решение, работающее везде, где есть "интернет-розетка". А зачем для
> ssh-туннеля помощь провайдера?
Если это нормальный провайдер - то не нужна. Но я последнее время общаюсь с ненормальными.
Если хотите, какнить расскажу отдельно. Проблема в том, что провайдеры
последней мили (не все конечно, а те, которые мне попадаются) напрочь не понимают что
такое tcp/ip и чем прокси отличается от NAT, а NAT - от файервола.
> > Кроме того если вы имеете ввиду ppp over ssh, да и вообще ip over ssh то
> это очень плохо, очень-очень плохо.
Я его не имею ввиду. Посмотрите autossh, в __некоторых__ случаях это единственное
реасльно работающее решение.
> Фишка в том, что у tcp есть повтор передачи пакетов по таймауту (если не
> получено подтверждение). При, например, ретрейне у модема, или перегрузке
> канала получается следующее -- для tcp-соединения туннеля (например ssh)
Блин. man autossh. Там все ваши сомнения подробно изложены и рассмотрены. Вы
спосили работающее решение - я посоветовал. Оно работает. IPSEC тоже работает.
Для каждой задачи свое решение, выберите и пользуйтесь. Попользуетесь IPSEC
от офисного провайдера - узнаете зачем нужно договариваться про 22 порт и 54 протокол.
--
WthBstRgrds -- Андрей Орлов --
--- http: www.neural.ru, mail: cray@neural.ru, jid: cray@altlinux.org ---
----------------------------------------
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Re: Криптованый сжатый туннель
2004-01-11 15:27 ` [Comm] " Денис Смирнов
2004-01-11 21:16 ` Andrey Orlov
@ 2004-01-12 12:44 ` Michael Bykov
1 sibling, 0 replies; 11+ messages in thread
From: Michael Bykov @ 2004-01-12 12:44 UTC (permalink / raw)
To: community
On Sun, 11 Jan 2004 18:27:47 +0300
Денис Смирнов <mithraen@freesource.info> wrote:
> Рещультат этого -- ещё большая
> перегрузка канала (а значит увеличение задержек),
> следствием которого может быть просто перегруз канала
> повторами tcp-пакетов, а также этими же повторами, но
> идущими через туннель (т.е. заведомо лишними).
> И как
> бороться с этим я себе, честно говоря, мало представляю
> (если используется сжатие данных и/или шифрование
> данных).
Насколько я понимаю, это решено в openvpn,
См. http://openvpn.sourceforge.net/,
Они предают tcp поверх udp,
подробно разъяснено в
http://sites.inka.de/sites/bigred/devel/tcp-tcp.html
--
Stay tuned!
М.
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Криптованый сжатый туннель
2004-01-11 12:58 [Comm] Криптованый сжатый туннель Денис Смирнов
` (2 preceding siblings ...)
2004-01-11 20:44 ` [Comm] " Anton Noginov
@ 2004-01-15 10:47 ` Maxim Tyurin
3 siblings, 0 replies; 11+ messages in thread
From: Maxim Tyurin @ 2004-01-15 10:47 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 728 bytes --]
On Sun, Jan 11, 2004 at 03:58:56PM +0300, Денис Смирнов wrote:
> Чем можно организовать сжатый туннель (для экономии траффика)? Есть
> машинка на хостинге, там стоимость траффика резко отличается от стоимости
> траффика в офисе, да и канал до офиса тонкий -- траффик экономить полезно.
>
> Кроме того хочу иметь возможность (на будущее) находясь где угодно
> воткнуться ноутбуком в сеть, поднять туннель, и после этого не бояться за
> перехват данных.
>
> В ту же степь -- через этот же туннель я собираюсь соединяться с офисной
> сетью (мне будут нужны внутренняя почта, которая лежит на внутреннем
> и наш web-сервер).
Free/Swan это все хорошо умеет.
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
end of thread, other threads:[~2004-01-15 10:47 UTC | newest]
Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-01-11 12:58 [Comm] Криптованый сжатый туннель Денис Смирнов
2004-01-11 13:09 ` [Comm] " Konstantin A. Lepikhov
2004-01-11 15:20 ` Pavel S. Khmelinsky
2004-01-11 18:22 ` Konstantin A. Lepikhov
2004-01-11 15:28 ` Денис Смирнов
2004-01-11 14:14 ` [Comm] " Andrey Orlov
2004-01-11 15:27 ` [Comm] " Денис Смирнов
2004-01-11 21:16 ` Andrey Orlov
2004-01-12 12:44 ` Michael Bykov
2004-01-11 20:44 ` [Comm] " Anton Noginov
2004-01-15 10:47 ` Maxim Tyurin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git