[linux-l] Erste Erfahrungen mit OpenVPN

Christoph Biedl cbiedl at gmx.de
Sa Jul 10 16:36:23 CEST 2004


Oliver Beck wrote...

> On Fri, 9 Jul 2004 09:57:39 +0200
> Christoph Biedl <cbiedl at gmx.de> wrote:
> 
> > Hast Du einen speziellen Grund für proto tcp? Die erste Wahl ist
> > eigentlich udp, Details in der manpage.
> 
> Nun, ich habe mir die Manpage noch nicht genauer angeschaut. Habe mich
> für TCP entschieden, da dies ein Protokoll ist, welches prüft, ob alle
> Pakete angekommen sind. Bei UDP ist dies ja nicht der Fall. Werde mich
> in der Manpage nochmal eingraben.

Richtig ist, daß TCP eine eingebaute Flußkontrolle (_T_ransmission
_C_ontrol, quasi "Einschreiben mit Rückschein") hat, was es für
zuverlässige Übertragung sehr nützlich macht. UDP hingegen ist wie
Postkarte, und die Kommunikationspartner müssen sich selber gegen
Paketverluste absichern. Es gibt Fälle, wo das nützlicher oder
verzichtbar ist.

Trotzdem muß man sich wegen Paketverlust auf der Tunnelstrecke keine
Sorgen machen: Die Flußkontrolle der transportierten Daten übernimmt das
schon von sich aus.

Verwendet man nun TCP für den Tunneltransport und macht eine
TCP-Verbindung innerhalb des Tunnels, z.B. ganz gewöhnliches Surfen,
dann hat man zwei Flußkontrollen übereinander, und die können sich böse
behindern, weil sie nichts voneinander wissen. Dieses "tcp-over-tcp
considered harmful" ist auch unter
http://sites.inka.de/sites/bigred/devel/tcp-tcp.html nachzulesen.

> > Sollte mich wundern, wenn es da noch viel brauchbares gäbe.
> 
> Nunja, ich wage eher selten den Blick über den Tellerrand, und schau mir
> kommerzielle Lösungen an. Zumal ich gar nicht das Geld dazu hätte ;)

Meine sehr spärlichen Ausflüge in die Welt der kommerziellen Lösungen,
konkret: Cisco VPN-client, bestärken mich in meiner Meinung über closed
software. Gerade im Bereich von Kryptographie ist der Einsatz von so
etwas irgendwo in der Nähe von fahrlässig.

	Christoph



Mehr Informationen über die Mailingliste linux-l