/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
To ISP'ere, gateway routing, etc. etc.
Fra : Mogens Kjaer


Dato : 10-02-07 14:01

Jeg er forvirret, så jeg håber på lidt hjælp:

Jeg har indtil i går kørt med en linuxserver i kælderen
med to netkort, et til lokalnet og et til ISP 1 (4M/768K TDC ADSL).

Serveren NAT'er det interne 192.168.4.x netværk.

Der er mailserver og webserver på den.

Nu har jeg imidlertid fået DONG fibernet i går, så
flux har jeg klikket på jay.net som ISP. 100/100M lyder
jo ikke så tosset endda.

Dér får man (meget) dynamisk IP tildelt, og det ser ud
til at alt er lukket indadtil

Jeg har derfor sat et ekstra netkort i serveren, så jeg
håber på at kunne:

Modtage mails fra TDC (som før)
Sende mails ud via TDC (som før)
Folk udefra kan få fat i port 80 på serveren via TDC IP'en (som før)
Men: jeg vil gerne have at når man surfer fra 192.168.4.x går
det ud via jay.net

Hvordan gør jeg dette?

Hvad skal default gateway være? Hvordan styrer jeg mine
iptables regler så det går godt?

Lige nu har jeg:

eth0 192.168.4.x
eth1 TDC
eth2 jay.net

default gateway eth2

NAT går via eth2.

Men jeg kan ikke få fat i www.lemo.dk:80, jeg kan se at der
modtages en request fra eth1, men der sendes ikke noget svar.

Mogens

--
Mogens Kjaer, mk@lemo.dk
http://www.lemo.dk

 
 
Steen Suder (10-02-2007)
Kommentar
Fra : Steen Suder


Dato : 10-02-07 15:19

Mogens Kjaer wrote:

> Jeg er forvirret, så jeg håber på lidt hjælp:
>
> Jeg har indtil i går kørt med en linuxserver i kælderen
> med to netkort, et til lokalnet og et til ISP 1 (4M/768K TDC ADSL).
>
> Serveren NAT'er det interne 192.168.4.x netværk.
>
> Der er mailserver og webserver på den.
>
> Nu har jeg imidlertid fået DONG fibernet i går, så
> flux har jeg klikket på jay.net som ISP. 100/100M lyder
> jo ikke så tosset endda.
>
> Dér får man (meget) dynamisk IP tildelt, og det ser ud
> til at alt er lukket indadtil
>
> Jeg har derfor sat et ekstra netkort i serveren, så jeg
> håber på at kunne:
>
> Modtage mails fra TDC (som før)
> Sende mails ud via TDC (som før)
> Folk udefra kan få fat i port 80 på serveren via TDC IP'en (som før)
> Men: jeg vil gerne have at når man surfer fra 192.168.4.x går
> det ud via jay.net
>
> Hvordan gør jeg dette?
>
> Hvad skal default gateway være? Hvordan styrer jeg mine
> iptables regler så det går godt?

Kig LART:
<http://lartc.org/howto/>

- Efter "policy routing".

Du bruger enten ip (8) og/eller iptables (8) og dennes mulighed for
at "mangle" pakkerne med et firewallmærke, som der kan routes efter.


<KLIP>

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

Mogens Kjaer (13-02-2007)
Kommentar
Fra : Mogens Kjaer


Dato : 13-02-07 08:25

Steen Suder wrote:
> Mogens Kjaer wrote:
....
>> Nu har jeg imidlertid fået DONG fibernet i går, så
>> flux har jeg klikket på jay.net som ISP. 100/100M lyder
>> jo ikke så tosset endda.
>>
>> Dér får man (meget) dynamisk IP tildelt, og det ser ud
>> til at alt er lukket indadtil
....
> Kig LART:
> <http://lartc.org/howto/>

Tak for linket, selv om det ser lidt langhåret ud.

Jeg er i mellemtiden blevet klogere; det hele
er mere simpelt.

Når man tilslutter sig en udbyder via Dong Energys
hjemmesiden kommer man godt nok på nettet med det
samme, men det er først efter at man har sendt
underskrevne formularer ind, at man "rigtigt" kommer på.

Så får man et login på jaynet's hjemmeside og kan
dér åbne for de porte, man er interesserede i (25, 80, etc.).

Det er også muligt at få fast IP, men det kræver er trick.

Normalt foregår fiberopkoblingen på den måde at det er
Dong, der tildeler en IP adresse. Når man lige er kommet
på uden at have valgt udbyder får man en 10.x.x.x adresse og
kan kun se dongs hjemmeside. Når man har valgt udbyder tildeler
dong en IP hos ISP'en.

Det er nyt for jay.net's vedkommende, før fik man en 10.x.x.x adresse
af dong og skulle gå ud på internettet via en VPN forbindelse til
jay.net. Den sidste mulighed eksisterer stadigvæk, og man får
så en fast IP hver gang.

Så der er håb om at jeg kan skrotte min ADSL om nogle dage.

Der er fin hastighed på forbindelsen til det jeg primært
skal bruge den til (VPN til firmaer, som jay.net har forbindelse
til via DIX), fx kunne jeg hente en .iso fra
http://mirror.fysik.dtu.dk/linux/centos/4.4/isos/i386/
med 7.3 Mbytes/sek. Det så ud til at hastigheden (med wget)
svingede imellem 5-10Mbytes/sek, den faldt når min maskine skrev
på harddisken.

Mogens


--
Mogens Kjaer, mk@lemo.dk
http://www.lemo.dk

Asbjorn Hojmark (13-02-2007)
Kommentar
Fra : Asbjorn Hojmark


Dato : 13-02-07 13:16

On Tue, 13 Feb 2007 08:24:30 +0100, Mogens Kjaer <mk@lemo.dk> wrote:

> Når man tilslutter sig en udbyder via Dong Energys hjemmesiden kommer
> man godt nok på nettet med det samme, men det er først efter at man
> har sendt underskrevne formularer ind, at man "rigtigt" kommer på.

Det er et princip, man kalder selv-provisionering, og det er ret
udbredt i de såkaldt åbne (eller operatør-uafhængige) net, som DONGs
og SEAS-NVEs.

> Så får man et login på jaynet's hjemmeside og kan dér åbne for de
> porte, man er interesserede i (25, 80, etc.).

Åbne? Vel kun for trafik initieret udefra?

> Det er nyt for jay.net's vedkommende, før fik man en 10.x.x.x adresse
> af dong og skulle gå ud på internettet via en VPN forbindelse til
> jay.net. Den sidste mulighed eksisterer stadigvæk, og man får så en
> fast IP hver gang.

Den sidste mulighed (PPTP ind til en server hos Jay.net) er IMO noget
rigtig skod. For det første er det langtfra alt udstyr, der i det hele
taget kan PPTP. For det andet kan det svært at bruge sin forbindelse
til fx VPN, hvis man allerede kører ... VPN.


Det er vist desværre et generelt problem, at DONG ikke kan tildele en
fast IP-adresse. (Ellers kunne man jo bare skifte udbyder)... Men har
du faktisk oplevet, at adressen skiftede mens du var på? (Altså, at de
NAK'ede en renew?) Ellers kan man jo bare blive ved med at forny den.


Kan du i øvrigt ikke lokkes til at lave en traceroute ud til fx DIX?

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

Mogens Kjaer (13-02-2007)
Kommentar
Fra : Mogens Kjaer


Dato : 13-02-07 13:56

Asbjorn Hojmark wrote:
> On Tue, 13 Feb 2007 08:24:30 +0100, Mogens Kjaer <mk@lemo.dk> wrote:
>
>> Når man tilslutter sig en udbyder via Dong Energys hjemmesiden kommer
>> man godt nok på nettet med det samme, men det er først efter at man
>> har sendt underskrevne formularer ind, at man "rigtigt" kommer på.
>
> Det er et princip, man kalder selv-provisionering, og det er ret
> udbredt i de såkaldt åbne (eller operatør-uafhængige) net, som DONGs
> og SEAS-NVEs.
>
>> Så får man et login på jaynet's hjemmeside og kan dér åbne for de
>> porte, man er interesserede i (25, 80, etc.).
>
> Åbne? Vel kun for trafik initieret udefra?

Nu har jeg ikke fået login'et endnu såh...

Mit indtryk var, at der ikke er spærret for nogen porte
udad, hvis det er det, du mener. Port 25 er ihvertfald åben.

>
>> Det er nyt for jay.net's vedkommende, før fik man en 10.x.x.x adresse
>> af dong og skulle gå ud på internettet via en VPN forbindelse til
>> jay.net. Den sidste mulighed eksisterer stadigvæk, og man får så en
>> fast IP hver gang.
>
> Den sidste mulighed (PPTP ind til en server hos Jay.net) er IMO noget
> rigtig skod. For det første er det langtfra alt udstyr, der i det hele
> taget kan PPTP. For det andet kan det svært at bruge sin forbindelse
> til fx VPN, hvis man allerede kører ... VPN.

Ups, ja. Det kan være at skulle prøve uden pptp til at starte med.

>
>
> Det er vist desværre et generelt problem, at DONG ikke kan tildele en
> fast IP-adresse. (Ellers kunne man jo bare skifte udbyder)... Men har
> du faktisk oplevet, at adressen skiftede mens du var på? (Altså, at de
> NAK'ede en renew?) Ellers kan man jo bare blive ved med at forny den.

Jeg fik linien i fredags, så der er ikke så meget at lave statistik på.

Jeg har oplevet én gang at få ny IP adresse når jeg har rebootet,
men måske var det da jeg skiftede netkort (ny MAC adresse).

Jeg fik at vide af jay.net's support at man kunne risikere ny IP
adresse fx hvis dong roder med deres net, noget som jay.net jo ikke
er herre over.

>
>
> Kan du i øvrigt ikke lokkes til at lave en traceroute ud til fx DIX?

Nu kører maskinen med dobbelt-ISP, hvor nogle IP'er bliver sendt via
jay.net, men jeg kan lave en traceroute til mit arbejde (jay.net via
DIX til Forskningsnet):

# traceroute -n -I 130.226.184.8
traceroute to 130.226.184.8 (130.226.184.8), 30 hops max, 40 byte packets
1 86.48.46.1 0.565 ms 0.352 ms 0.294 ms
2 10.24.0.21 0.675 ms 0.307 ms 0.316 ms
3 10.24.0.17 0.718 ms 0.391 ms 0.346 ms
4 10.24.0.13 0.461 ms 0.422 ms 0.405 ms
5 10.24.0.9 0.866 ms 0.289 ms 0.307 ms
6 10.24.0.1 0.939 ms 0.505 ms 0.543 ms
7 10.3.3.114 1.376 ms 1.148 ms 0.919 ms
8 10.3.3.17 49.539 ms 48.939 ms 48.734 ms
9 10.3.1.21 1.328 ms 1.225 ms 1.141 ms
10 10.3.1.30 1.558 ms 1.428 ms 1.287 ms
11 10.1.1.1 1.946 ms 1.634 ms 1.595 ms
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 130.226.184.8 6.722 ms 6.709 ms 6.649 ms

- hvis det siger noget. Eller en tcptraceroute:

# tcptraceroute 130.226.184.8
Selected device eth2, address 86.48.47.79, port 54620 for outgoing packets
Tracing the path to 130.226.184.8 on TCP port 80, 30 hops max
1 86.48.46.1 (86.48.46.1) 1.865 ms 0.536 ms 0.445 ms
2 10.24.0.21 (10.24.0.21) 0.624 ms 0.734 ms 0.402 ms
3 10.24.0.17 (10.24.0.17) 0.896 ms 0.579 ms 0.472 ms
4 10.24.0.13 (10.24.0.13) 0.802 ms 0.542 ms 0.477 ms
5 10.24.0.9 (10.24.0.9) 0.782 ms 0.563 ms 0.504 ms
6 10.24.0.1 (10.24.0.1) 1.307 ms 0.702 ms 0.700 ms
7 10.3.3.114 (10.3.3.114) 1.451 ms 1.741 ms 1.099 ms
8 10.3.3.17 (10.3.3.17) 28.925 ms 56.657 ms 57.266 ms
9 10.3.1.21 (10.3.1.21) 1.572 ms 1.385 ms 1.339 ms
10 10.3.1.30 (10.3.1.30) 1.551 ms 1.355 ms 1.381 ms
11 10.1.1.1 (10.1.1.1) 2.669 ms 1.918 ms 1.790 ms
12 81.19.236.185 (81.19.236.185) 2.205 ms 2.231 ms 2.271 ms
13 81.7.154.1 (81.7.154.1) 2.439 ms 2.368 ms 1.957 ms
14 ge-dix.ly3.core.fsknet.dk (192.38.7.1) 2.531 ms 2.583 ms 2.475 ms
15 ge-lgb.ruc2.core.fsknet.dk (130.225.244.234) 3.369 ms 3.250 ms
3.200 ms
16 fe-ruc2.ruc.core.fsknet.dk (130.225.245.105) 3.518 ms 4.709 ms
3.457 ms
17 rk-ruc.kvlt.core.fsknet.dk (130.225.244.34) 3.844 ms 4.036 ms
3.741 ms
18 rk-kvlt.carlsberg.core.fsknet.dk (130.225.244.38) 3.896 ms 4.040
ms 3.837 ms
19 mail.crc.dk (130.226.184.8) [open] 4.636 ms 3.880 ms 3.887 ms

I øvrigt lidt irriterende at 86.48.46.x/23 adresserne ikke har reverse
DNS...

Mogens

--
Mogens Kjaer, mk@lemo.dk
http://www.lemo.dk

Asbjorn Hojmark (13-02-2007)
Kommentar
Fra : Asbjorn Hojmark


Dato : 13-02-07 16:01

On Tue, 13 Feb 2007 13:55:41 +0100, Mogens Kjaer <mk@lemo.dk> wrote:

> Jeg har oplevet én gang at få ny IP adresse når jeg har rebootet,
> men måske var det da jeg skiftede netkort (ny MAC adresse).

Ja, så vil du få en ny adresse, i hvert fald hvis de ikke bruger DHCP
Option 82 (og det gør de jo så nok ikke).

> Jeg fik at vide af jay.net's support at man kunne risikere ny IP
> adresse fx hvis dong roder med deres net, noget som jay.net jo ikke
> er herre over.

Nemlig. Som sagt er det velkendt, men ærgerligt, at man ikke kan få en
fast adresse.

> 11 10.1.1.1 1.946 ms 1.634 ms 1.595 ms
> 12 * * *
> 13 * * *
> 14 * * *
> 15 * * *
> 16 * * *
> 17 * * *
> 18 * * *
> 19 130.226.184.8 6.722 ms 6.709 ms 6.649 ms

Det ser ud til, at nogen laver noget ICMP-filtrering. Skod.

> - hvis det siger noget. Eller en tcptraceroute:

Ja, det siger jo lidt mere. Men det er nu også irriterende, at der
ikke er reverse DNS på DONGs net, ligesom det er ... øh ... usmart, at
det er 1918-adresser.

> I øvrigt lidt irriterende at 86.48.46.x/23 adresserne ikke har reverse
> DNS...

Ja, både 86.48.0.0/16, 81.7.128.0/18 og 81.19.224.0/19. Tag og skriv
til Jay.net og sig det. Måske er det en simpel forglemmelse.

-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

Jan Deleuran (13-02-2007)
Kommentar
Fra : Jan Deleuran


Dato : 13-02-07 17:53

Asbjorn Hojmark skrev:

>
> Det er vist desværre et generelt problem, at DONG ikke kan tildele en
> fast IP-adresse. (Ellers kunne man jo bare skifte udbyder)... Men har
> du faktisk oplevet, at adressen skiftede mens du var på? (Altså, at de
> NAK'ede en renew?) Ellers kan man jo bare blive ved med at forny den.

Jeg tror da nok, at jeg har fået en fast ip-adresse på DONG´s net. Min
udbyder, Dansk Bredbaand, tager sig betalt for fast ip og DONG, som
tildeler mig min ip ved godt at den er fast.
Det har ganske vist været med nogle problemer undervejs - jeg kom på en
gang i oktober, havde bestilt fast ip og troede at jeg havde det indtil
virkeligheden primo januar viste noget andet. På daværende tidspunkt
havde jeg haft samme nummer i 8-10 uger. Nummeret skiftede simpelthen
mens jeg var på. På daværende tidspunkt havde Dansk Bredbaand "glemt" at
jeg havde bestilt fast ip.

For omkring en halv snes dage siden fik jeg atter nyt ip - DB´s support
var ubrugelig, men kontakt til DONG viste, at DONG godt vidste at jeg
skulle have fast ip, men deres databaseserver var væltet, og derfor
havde jeg altså fået en nyt fast ip-nr.

Indtil videre tror jeg derfor på at jeg nu har fast ip, om end jeg i år
endnu ikke er kommet ud over 4 uger.

mvh

Jan Deleuran

Asbjorn Hojmark (13-02-2007)
Kommentar
Fra : Asbjorn Hojmark


Dato : 13-02-07 20:25

On Tue, 13 Feb 2007 17:52:57 +0100, Jan Deleuran
<somewhere@nowhere.invalid> wrote:

> Jeg tror da nok, at jeg har fået en fast ip-adresse på DONG´s net. Min
> udbyder, Dansk Bredbaand, tager sig betalt for fast ip og DONG, som
> tildeler mig min ip ved godt at den er fast.

Nå, men det lyder da en positiv overraskelse. Jeg er selv på vej til
at blive DONG-kunde, og netop det var en af de steder, hvor de ellers
har svaret ret klart (og altså negativt).

> På daværende tidspunkt havde jeg haft samme nummer i 8-10 uger. Nummeret
> skiftede simpelthen mens jeg var på. På daværende tidspunkt havde Dansk
> Bredbaand "glemt" at jeg havde bestilt fast ip.

Nu er det jo ikke Dansk Bredbånd, der tildeler adressen -- Det gør
DONGs DHCP-server -- og jeg troede egentlig, at man lavede alle
bestillinger på DONGs system, så de med det samme vidste, hvilke
produkter, man har købt.

.... Men hvis du har bestilt det via DBnet, så skal de selvfølgelig
gøre DONG opmærksom på det, så sidstnævnte har en chance for at holde
det.

> Indtil videre tror jeg derfor på at jeg nu har fast ip, om end jeg i år
> endnu ikke er kommet ud over 4 uger.

Det er fint, hvis produktet findes, men lidt ligegyldigt, hvis det
ikke virker i praksis...

-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

Mogens Kjaer (14-02-2007)
Kommentar
Fra : Mogens Kjaer


Dato : 14-02-07 08:30

Asbjorn Hojmark wrote:
....
> Nu er det jo ikke Dansk Bredbånd, der tildeler adressen -- Det gør
> DONGs DHCP-server -- og jeg troede egentlig, at man lavede alle
> bestillinger på DONGs system, så de med det samme vidste, hvilke
> produkter, man har købt.

På bestillingssedlen til jay.net står der udtrykkeligt, at det er
vigtigt at man også tilmelder sig via DONG's hjemmeside, ellers
bliver der ikke åbnet for servicen.

Mogens

--
Mogens Kjaer, mk@lemo.dk
http://www.lemo.dk

Asbjorn Hojmark (14-02-2007)
Kommentar
Fra : Asbjorn Hojmark


Dato : 14-02-07 12:42

On Wed, 14 Feb 2007 08:30:25 +0100, Mogens Kjaer <mk@lemo.dk> wrote:

> På bestillingssedlen til jay.net står der udtrykkeligt, at det er
> vigtigt at man også tilmelder sig via DONG's hjemmeside, ellers
> bliver der ikke åbnet for servicen.

Hmm, det kan der da godt optimeres lidt på. Det må vel være nok at
tilmelde sig ét sted, og det mest oplagte er efter min mening DONGs
side. (Teknisk set kan de åbne for servicen i det øjeblik, hvor man
trykker submit i formularen). Så kan de sende content provideren en
mail eller lignende om tilmeldingen.

-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

Mogens Kjaer (14-02-2007)
Kommentar
Fra : Mogens Kjaer


Dato : 14-02-07 12:55

Asbjorn Hojmark wrote:
> On Wed, 14 Feb 2007 08:30:25 +0100, Mogens Kjaer <mk@lemo.dk> wrote:
>
>> På bestillingssedlen til jay.net står der udtrykkeligt, at det er
>> vigtigt at man også tilmelder sig via DONG's hjemmeside, ellers
>> bliver der ikke åbnet for servicen.
>
> Hmm, det kan der da godt optimeres lidt på. Det må vel være nok at
> tilmelde sig ét sted, og det mest oplagte er efter min mening DONGs
> side. (Teknisk set kan de åbne for servicen i det øjeblik, hvor man
> trykker submit i formularen). Så kan de sende content provideren en
> mail eller lignende om tilmeldingen.

Sådan virker det også i praksis.

Det var vel ment på den måde, at hvis man tilmelder
sig internet på DONGs side åbnes nettet efter
et kort øjeblik.

Man får et brev med en formular man skal skrive under på
og sende ind. Man kan dér krydse af om man vil have
internet og/eller telefon. Hvis man på dette tidspunkt
finder ud af at man vil have begge dele skal man tilbage
til DONG's hjemmeside og tilmelde telefon også.

Lidt underligt at man får åbnet forbindelsen uden at have
skrevet under, men praktisk for de utålmodige

Mogens

--
Mogens Kjaer, mk@lemo.dk
http://www.lemo.dk

Jens Fallesen (15-02-2007)
Kommentar
Fra : Jens Fallesen


Dato : 15-02-07 21:24

Asbjorn Hojmark wrote:

> Hmm, det kan der da godt optimeres lidt på. Det må vel være nok at
> tilmelde sig ét sted, og det mest oplagte er efter min mening DONGs
> side. (Teknisk set kan de åbne for servicen i det øjeblik, hvor man
> trykker submit i formularen). Så kan de sende content provideren en
> mail eller lignende om tilmeldingen.

Som BECS (eller hvad det nu hedder for tiden) er designet, vil der ved
oprettelse af en tjeneste ske en kommunikation mellem DONGs system og et
system hos tjenesteudbyderen, sådan at aktivering af tjenesten godkendes
af tjenesteudbyderen.

Alternativt understøttes mulighed for at omdirigere brugeren til en
webside hos tjenesteudbyderen, hvor kunden så bestille tjenesten
direkte, hvorefter tjensteudbyderens system fortæller DONGs system, at
tjenesten nu skal aktiveres.

Det er dog mit indtryk, at ikke alle udbydere har integrationen på plads
(typisk via SOAP), og at "tjenesteudbyderens system" derfor blot er et
system hos DONG.


--
Jens

Mogens Kjaer (25-02-2007)
Kommentar
Fra : Mogens Kjaer


Dato : 25-02-07 09:49

Asbjorn Hojmark wrote:
....
> Den sidste mulighed (PPTP ind til en server hos Jay.net) er IMO noget
> rigtig skod. For det første er det langtfra alt udstyr, der i det hele
> taget kan PPTP. For det andet kan det svært at bruge sin forbindelse
> til fx VPN, hvis man allerede kører ... VPN.

Det ser ud til at virke, altså at køre VPN over VPN.

Først prøvede jeg på en Windows 2000 maskine: Sætte VPN til
jaynet op, derefter starte cisco vpn klienten. Det virker ikke.

Så satte jeg VPN op på min Linux router til jaynet, NAT til det
interne netværk, og på det interne netværk kan man godt have
en maskine med en VPN klient til arbejdet, som går via den
allerede etablerede VPN tunnel på Linux serveren.

Måske hjælper det at pptpconfig på linux lægger en regel
ind i firewallen med "TCPMSS clamp to PMTU", hvis VPN over
VPN ellers ikke kan lade sig gøre pga. et MTU problem.

Mogens
--
Mogens Kjaer, mk@lemo.dk
http://www.lemo.dk

Asbjorn Hojmark (25-02-2007)
Kommentar
Fra : Asbjorn Hojmark


Dato : 25-02-07 11:20

On Sun, 25 Feb 2007 09:48:41 +0100, Mogens Kjaer <mk@lemo.dk> wrote:

>> For det andet kan det svært at bruge sin forbindelse til fx VPN,
>> hvis man allerede kører ... VPN.

> Så satte jeg VPN op på min Linux router til jaynet, NAT til det
> interne netværk, og på det interne netværk kan man godt have en
> maskine med en VPN klient til arbejdet, som går via den allerede
> etablerede VPN tunnel på Linux serveren.

Ja, det kan man godt, når man skiller det ad i to maskiner (eller en
pc og en router). Jeg sagde jo heller ikke, at det var umuligt, bare
at det kan være bøvlet.

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408925
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste