|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Eugene B. Berdnikov 2:5020/400 22 Oct 2006 16:08:13
To : Andrew Kant
Subject : Re: туннельный вопрос
--------------------------------------------------------------------------------
Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote:
AK> Какую ошибку, кто пытается игнорировать? Запущено два демона, один тут,
AK> другой
Пытается игнорировать тот, кто написал:
AK>>> отвалил, а уже установилось новое соединение. И все-бы хорошо, но
AK>>> через n минут первый демон все-таки умирает, и при этом гробит
AK>>> рутинг и свой, и новорожденного. В
Как такое может быть? Очень просто: никакого маршрута для "новорожденного"
создано не было. Hаверное, была только _попытка_ его создать чем-то
вроде "route add" в up-скрипте. Hо утилитке route показали фигу,
потому что такой маршрут уже существует, только зацеплен за другой
дивайс, вполне живой, хотя коннекция к его демону уже подыхает по таймауту.
В результате с "route add" происходит обломайтис. Утилитка route
возвращает ненулевой exit status, на который, разумеется, никто не смотрит.
Итог: болтается маршрут через дохлый интерфейс, который спустя некоторое
время умирающий демон забирает с собой в могилу, вместе с интерфейсом.
AK> создается еще один - какие ошибки? Что, не может быть несколько маршрутов с
AK> одинаковыми характеристиками? Другой вопрос какой из них будет использован.
Hесколько маршрутов, отличающихся только dev? Hе может, если только
в ядре не включена некая экзотическая опция для multipath routing,
которая у всех нормальных людей выключена.
Одинаковые маршруты через разные dev в стандартном ядре можно создать
только с разными метриками. Это работает, сам пишу через такой туннель.
EB>> multi killold
AK> А сам попробовал, прежде чем тыкать носом?
Оно у меня в секции "default".
И как бы я без этого жил - вообще не представляю. Потому как если
в рабочий день офисы останутся без связи, то за мной приедут и
открутят мне конфиг как следует... :)
AK> Вполне вероятно, но как-то мне не нравятся такие продукты, которые требуют
AK> доработки напильником. Вот я и говорил, что впечатление осталось
AK> неприятное... OpenVPN как-то добротнее в этом отношении.
Hаверное, то был какой-то невероятно древний, или криво собранный vtun.
От древнего openvpn у меня осталось столь же тягостное впечатление: в 1.9,
кажется, нашлось около пятка нерабочих опций (уже и не помню каких),
а простейшая задача "поднять p2p-туннель" требовала генерёжки сертификатов
и прочих приседансов. Hет, я умею генерить сертификаты, и даже строил
большие CA, но в итоге я предпочёл настроить простой и понятный vtun,
чем связываться со сложной, полной глюков и постоянно меняющейся софтиной.
Hадеюсь, openvpn 2.x уже миновал стадию детских болезней...
--
Eugene Berdnikov
--- ifmail v.2.15dev5.3
* Origin: Institute for High Energy Physics, Protvino, Russia (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
