DmitryITLin Dec 20 2023 at 14:37

Маршрутизация подсети IPv4 через IPIP

Medium

2 min

6.5K

Configuring Linux*

From sandbox

Comments 7

sfinks777 Dec 20 2023 at 15:15

по такому туннелю можно выполнять только однонаправленную передачу данных (unicast).

Меня в начале века учили, что unicast - одноадресная рассылка, multicast - многоадресная рассылка, broadcast - широковещательная. В статье, как и в первых строчках выдачи гугла, unicast вдруг превратился в "однонаправленную передачу", что с позиции сетевика имеет совсем иное значение. Пример перевода терминологии "в лоб", которая только путает.

В остальном, с почином!

iddqda Dec 20 2023 at 17:30

Пара замечаний

ip tunnel help. Закопайте уже net-tools пожалуйста
нет необходимости мучать пинги в поисках правильного MTU. Overhead у IPIP ровно 20 байт (у GRE 24 бйта). Просто вычитайте 20 из MTU физического интерфейса (обычно 1500)

UFO just landed and posted this here

loskiq Dec 21 2023 at 00:46

тогда лучше уж wireguard поднять для шифрования. принцип такой же - можно пробрасывать внутренние сетки через внешнюю, но уже будет шифроваться

Sap_ru Dec 21 2023 at 18:01

Черт с ним, с шифрованием. Там можно смело инжектить в чужой поток свои пакеты при некотором старании. Такое даже между двумя виртуалками у одного хостера нельзя использовать, так как любая минорная уязвимость или ошибка в роутинге трафика у хостера позволяет соседями не только видеть ваш внутренний трафик, но и инжектиться в него. Ну и в том, что чужие будут видеть ваш трафик тоже ничего хорошего - пароли/логины баз данных, содержимое баз, содержимое очередей и прочее потенциально позволяет узнать какие-то критически важные пароли, токены или соли. И использовать это для атак на публично-доступные сервисы. Например утечёт так токен для доступа к CDN или DNS и приплыли - можно сертификаты своих доменов по всему интернету отлавливать.

Учитывая, что всякие виртуальные роутеры на несколько VDS/VPS у хостеров встречаются (лично мне) регулярно, то проблема крайне актуальная.

UFO just landed and posted this here

Sap_ru Dec 21 2023 at 17:54

Проблема даже не отсутствии шифрования и том, что кто-то увидит ваши данные.

Проблема в том, что кто-то (практически кто угодно) может вклиниться в обмен и инжектить туда свои данные. Вот это дыра размером с автобус. Поэтому использовать это можно только в контролируемых внутренних сетях и всяких виртуальных инфраструктурах