Комментарии 7
по такому туннелю можно выполнять только однонаправленную передачу данных (unicast).
Меня в начале века учили, что unicast - одноадресная рассылка, multicast - многоадресная рассылка, broadcast - широковещательная. В статье, как и в первых строчках выдачи гугла, unicast вдруг превратился в "однонаправленную передачу", что с позиции сетевика имеет совсем иное значение. Пример перевода терминологии "в лоб", которая только путает.
В остальном, с почином!
Пара замечаний
ip tunnel help. Закопайте уже net-tools пожалуйста
нет необходимости мучать пинги в поисках правильного MTU. Overhead у IPIP ровно 20 байт (у GRE 24 бйта). Просто вычитайте 20 из MTU физического интерфейса (обычно 1500)
тогда лучше уж wireguard поднять для шифрования. принцип такой же - можно пробрасывать внутренние сетки через внешнюю, но уже будет шифроваться
Черт с ним, с шифрованием. Там можно смело инжектить в чужой поток свои пакеты при некотором старании. Такое даже между двумя виртуалками у одного хостера нельзя использовать, так как любая минорная уязвимость или ошибка в роутинге трафика у хостера позволяет соседями не только видеть ваш внутренний трафик, но и инжектиться в него. Ну и в том, что чужие будут видеть ваш трафик тоже ничего хорошего - пароли/логины баз данных, содержимое баз, содержимое очередей и прочее потенциально позволяет узнать какие-то критически важные пароли, токены или соли. И использовать это для атак на публично-доступные сервисы. Например утечёт так токен для доступа к CDN или DNS и приплыли - можно сертификаты своих доменов по всему интернету отлавливать.
Учитывая, что всякие виртуальные роутеры на несколько VDS/VPS у хостеров встречаются (лично мне) регулярно, то проблема крайне актуальная.
Проблема даже не отсутствии шифрования и том, что кто-то увидит ваши данные.
Проблема в том, что кто-то (практически кто угодно) может вклиниться в обмен и инжектить туда свои данные. Вот это дыра размером с автобус. Поэтому использовать это можно только в контролируемых внутренних сетях и всяких виртуальных инфраструктурах
Маршрутизация подсети IPv4 через IPIP