l2tp - Diskussion erwünscht

Robert rlanghammer at web.de
Fr Apr 22 16:25:19 CEST 2016 

Hallo,

Wir haben hier in Haßfurt seit einiger Zeit l2tp am Laufen. Mit der
aktuellen Konfiguration scheinen die Gateways auch stabil zu sein. Was
passiert, wenn viele Tunnel kommen, wissen wir noch nicht, mangels l2tp
fähiger Router.
Aufgrund der Hoffnung einiges an CPU Last los zu werden, ist der Wunsch
nach l2tp der GW-Betreiber nach wie vor vorhanden.
Für das Grundkonzept scheint es uns sinnvoll, dass der
Gateway(-Bertreiber) die Tunnelvariante vorgibt und die Router machen.

Wie der Router an diese Info kommt ist noch die Frage. Schön wäre es,
wenn der Router seine Hood kennen würde, damit er gezielt beim Gateway
anfragen kann (falls dieser mehrere Hoods versorgt). Ich habe mit
ChristianDr schon mal weng geschrieben. Hier seine Gedanken:

----
Hi Robert
hm nein der Router weiß nicht direkt in welcher Hood er ist. Bei fastd
weiß er es rein über die Peers und solang es keinen dezentralen
keyxchange gibt seh ich da auch keine andere Möglichkeit als den
keyxchange abzufragen. Du bekommst aber in den Peers Files ja die IP
sowie Ports der Gateways zurück
Mit der IP fragst du das Gateway an ob es denn l2tp unterstützt:
wget http://{ip}/vpn.txt <http://%7Bip%7D/vpn.txt>
und Port behalten wir das +10000 einfach bei. Es entsteht keine
Abhängigkeit vom fastd nur vom keyxchange und diese lässt sich wie
gesagt nicht lösen da der keyxchange aktuell der einzige ist, der die
Hood des Routers kennt und direkt die Daten der Gateways (IP+Port+key
für fastd den key brauchst du im l2tp aber nicht und kannst du fließend
ignorieren) der Hood wo der Router ist zurück schickt. Schau dir das
fastdstart.sh Script an, das macht dies alles inkl. Peers anlegen im
Prinzip kannst du das kopieren alles von fastd rauswerfen und dafür die
Prüfung reinnehmen ob der Gateway l2tp kann (das wget oben), wenn dem so
ist muss dafür gesorgt werden das zu diesen Gateway kein fastd aufgebaut
wird (hier wirst du das fastd Packages wohl ein bisschen anfassen
müssen) und dafür baut dein Packages einen l2tp zu diesen Gateway auf.
Sobald es den dezentralen keyxchange gibt (wann auch immer das sein
wird...) werden wir die Packages eh alle umbauen müssen, ich würde den
jetzt mal noch nicht zu sehr beachten und ruhig auf den normalen
keyxchange zurück greifen.
Ich finde das eine ziemlich elegante Lösung aber vielleicht sollten wir
das nochmal auf der dev-Liste besprechen mal gucken was die anderen dazu
sagen.
----

Dem schließ ich mich an

Robert

Mehr Informationen über die Mailingliste franken-dev