Welche VPN Lösung benötigt keine Devicenodes?

[minimike]

Hi

Ich bisher immer OpenVPN verwendet. Leider bekomme ich das mit in Linux Container virtualisierten Kisten, mangels sauberer Lösung Betreff den Devicenodes, nicht so recht an den Start. Nun eine Alternative muss her. Welche VPN Lösung benötigt keine Devicenodes?

[gbotti]

Wenn Du die benötigten Ports mit SSH tunnelst brauchst du kein Device (außer natürlich deinem eth-device) dafür.

[minimike]

Wenn Du die benötigten Ports mit SSH tunnelst brauchst du kein Device (außer natürlich deinem eth-device) dafür.

Das ist mir bekannt. Aber das passt nicht zum Anwendungsszenario. VPN or die :/

[uname]

Ich denke das sieht schlecht aus. Selbst die SSH-VPN-Lösung benötigt TUN-Devices. Mein vServer (openVZ) unterstützt im übrigen TUN/TAP.

Code: Alles auswählen

    -w local_tun[:remote_tun]
             Requests tunnel device forwarding with the specified tun(4)
             devices between the client (local_tun) and the server
             (remote_tun).

             The devices may be specified by numerical ID or the keyword
             «any», which uses the next available tunnel device.  If
             remote_tun is not specified, it defaults to «any».  See also the
             Tunnel and TunnelDevice directives in ssh_config(5).  If the
             Tunnel directive is unset, it is set to the default tunnel mode,
             which is «point-to-point».

Du wirst dir irgendetwas bauen müssen was wie VPN aussieht, jedoch kein wirkliches VPN ist. Bei einzelnen Diensten könnte SSH-Forwarding ausreichend sein. Ähnlich wie einige Leute SSL-VPN als echte VPN-Lösung verkaufen.

[schorsch_76]

Mal ne blöde Frage: Was mach denn OpenVPN in den virtuellen Kisten für Probleme?

Gruß
schorsch

[uname]

Ich denke auch man sollte das ursprüngliche Problem lösen. Wenn ich so meine Glaskugel befrage scheint TUN/TAP auf den virtuellen Kisten nicht zu funktionieren. Ich denke dafür gibt es aber einfache Lösungen. Welche Virtualisierung wird denn genutzt? Das TUN-Module könnte z.B. im Kernel fehlen. Was sagt "modprobe tun".

[minimike]

Ich denke auch man sollte das ursprüngliche Problem lösen. Wenn ich so meine Glaskugel befrage scheint TUN/TAP auf den virtuellen Kisten nicht zu funktionieren. Ich denke dafür gibt es aber einfache Lösungen. Welche Virtualisierung wird denn genutzt? Das TUN-Module könnte z.B. im Kernel fehlen. Was sagt "modprobe tun".

Du brauchst die Glaskugel nicht zu Befragen sondern nur den ersten Post im Thread zu Lesen
Ich benutze Linux Containers über cgroup

Code: Alles auswählen

root@apache-james:~# apt-cache show lxc
Package: lxc
Priority: optional
Section: admin
Installed-Size: 728
Maintainer: Guido Trotter <ultrotter@debian.org>
Architecture: amd64
Version: 0.7.2-1
Depends: libc6 (>= 2.8), libcap2 (>= 2.10)
Recommends: libcap2-bin
Filename: pool/main/l/lxc/lxc_0.7.2-1_amd64.deb
Size: 140512
MD5sum: e2936cefe4e22d1d4cdf9ca2095a70cd
SHA1: c876dd25e618ea4fe23902afd847a5f18f42784d
SHA256: 484bba9a92aaee77dcc5c173ec2d479ba80dab2b09d2a7b16d92d79dee50c6a0
Description: Linux containers userspace tools
 Containers are insulated areas inside a system, which have their own namespace
 for filesystem, network, pids, ipc, cpu and memory allocation and which can be
 created using the Control Group and Namespace features included in recent Linux
 Kernels.
 .
 This package contains the lxc-* tools which can be used to start a single
 daemon in a container, or to boot an entire "containerized" system, and to
 successively manage and debug your containers.
Homepage: http://lxc.sourceforge.net/
Tag: admin::virtualization, implemented-in::c, interface::commandline, role::program, scope::application

root@apache-james:~# 

In den nächsten 14 Tagen werde ich mich für die nächsten 10 Jahre für eine Lösung entscheiden. Ich bin ein ISP Startup mit inovativen Lösungen sowie Produkten. Zur Auswahl stehen OpenIndiana mit Zones, Linux mit Linux Container und FreeBSD mit Jails.

Alle Lösungen haben derzeit einen Pferdefuß bzw gleich mehrere.
Linux und Linux Containers bereitet Probleme mit SELINUX und anderen Mandatory Access Control Lösungen. Und halt kein mission critical Tun/Tap. Globales dmesg. Zudem konnte ich eine Kernelpanic von einem Container aus provozieren.

OpenIndiana hat derzeit kleine Fehler mit Crossbow. Zudem derzeit noch schlechte Versorgung mit securityfixes.

FreeBSD hat derzeit schon Vnet und Resource sowie CPU Limitierung. Allerdings ist das noch recht experimentell. Kleinste Fehlkonfigurationen von virtnet, das benutzen der OpenBSD Firewall, das benutzen von Tun/Tap sowie diverse Protokolle in oder mit Jails können eine Kernelpanic provozieren.


Das waren mal so einige Punkte. OpenVZ und Linux-Vserver scheiden aus der Auswahl aus. Beide Lösungen werden mittelfristig Zukunftslos und vom Markt verschwinden. Eine Aufnahme in den Kernel könnte deren Aussichten aber ändern. Ich denke aber in absehbarer Zeit wird sich bei Linux und FreeBSD die Lage signifikant verbessern. Für andere Lösungen fehlt es mir als Startup an Kapital. Zudem keine Kosten sind die besten Kosten.

[schorsch_76]

Unter [1] hab ich einen Erfahrungsbericht/Howto gefunden. Dort wird Netzwerk via Bridging gemacht. Geht hier das OpenVPN Zeug schief?

Gruß
schorsch

[1] http://blog.foaa.de/2010/05/lxc-on-debian-squeeze/

[minimike]

Unter [1] hab ich einen Erfahrungsbericht/Howto gefunden. Dort wird Netzwerk via Bridging gemacht. Geht hier das OpenVPN Zeug schief?

Gruß
schorsch

[1] http://blog.foaa.de/2010/05/lxc-on-debian-squeeze/

Das trifft nicht die Problematik. Kunden sollen selbständig falls sie es erforderlich halten Tun/Tap Devices einrichten und nutzen können. Und zwar in ihren Vservern, denn das ist mittlerweile auf dem Markt so üblich. Anfangs bin ich mit meinem ersten Standbein zwar mein bester Kunde. Aber nur sehr gute Produkte haben auf dem Markt bestand. Der Preis auch wenn noch so niedrig ist egal sofern das Produkt nicht gut genug ist. Alternativ wollte ich erstmal zumindest für VPN eine Lösung anbieten.

[uname]

Sieht wohl schlecht aus. Lese mal ein wenig "lxc-users":

http://www.mail-archive.com/search?q=tu ... eforge.net