[Verdebinario] ninux.org in client isolation
Giuseppe De Marco
demarcog83 a gmail.com
Mer 5 Nov 2014 01:00:53 UTC
Abbiamo switchato la rete in CI, i nodi 172 non genereranno più
traffico ARP se non esclusivamente con il proprio AP. Questo fa sì che
tutte le richieste ARP non si propagheranno a sbafo, farà risparmiare
banda e ridurrà l'over-head di rete, inoltre previene il classico
mintm basato su arp spoof.
Appena è stato switchato mi ha telefonato enzo perchè non funzionava
più niente :)
Le configurazioni hanno richiesto degli affinamenti minimi ma
indispensabili, un NAT a newspig falsava le autenticazioni TLS, poi
ogni router ha dovuto configurare il proprio AP come default gw perchè
se questo diverso tentava vanamente sul layer2 fino al timeout; su
questo livello solo con l'AP si può comunicare.
Manca solo vilgio che adesso farà di fretta e furia per forza di cose :)
i suoi certificati sono su zizio, cerisano.*.
come esempio una configurazione di client:
uci show openvpn.sample_client
openvpn.sample_client=openvpn
openvpn.sample_client.enabled=1
openvpn.sample_client.client=1
openvpn.sample_client.dev=tun
openvpn.sample_client.proto=udp
openvpn.sample_client.remote=10.87.7.1 1194
openvpn.sample_client.resolv_retry=infinite
openvpn.sample_client.nobind=1
openvpn.sample_client.persist_key=1
openvpn.sample_client.persist_tun=1
openvpn.sample_client.ca=/etc/openvpn/ca.crt
openvpn.sample_client.cert=/etc/openvpn/cerisano.crt
openvpn.sample_client.key=/etc/openvpn/cerisano.key
openvpn.sample_client.ns_cert_type=server
openvpn.sample_client.cipher=none
openvpn.sample_client.float=1
openvpn.sample_client.comp_lzo=yes
openvpn.sample_client.verb=3
i precedenti possono essere inseriti con uci set e alla fine salvati
con uci commit, basta sistemare i files nella giusta path ma bisogna
prima aggiornare l'immagine con openvpn (ninucswrt) oppure sistemare
qualcosaltro per fare il tunnel della grande rete perchè sul suo 841
non c'è openvpn.
enjoy ninux
Maggiori informazioni sulla lista
Verdebinario