Возникла задача защитить сетевой трафик в отдельно взятом канале связи, проложенном через канализации и кроссы офисного здания с одного этажа на другой. Чтобы не усложнять топологию локальной сети VPN туннелями, решили сделать прозрачное шифрование Ethernet на входе и выходе небезопасного канала.
В интернете можно найти готовые устройства типа L2 Ethernet Encryptor от BlackBox ценой от $5K, но можно и самим сваять такой черный ящик на linux используя vtun (или openvpn). К тому же есть неплохое готовое описание. Разве что в нашем случае не нужны IP адреса на интерфейсе моста и промежуточные адреса мы так же не хотим светить:
# hide ip on interconnection link
net.ipv4.conf.eth1.arp_filter = 1
net.ipv4.conf.eth1.arp_announce = 2
net.ipv4.conf.eth1.arp_ignore = 2
При использовании схемы “сервер” <-> “много клиентов” опцию “device” надо убирать. Иначе только первый клиент может установить соединение, а при попытки подключения остальных возникает ошибка
Can’t allocate tap device tap. Device or resource busy(16)
Железку можно взять на hacom.net. 270-ый Atom с шифрованием blowfish128ecb без компрессии пропускает 56Mbps видео в mpeg4, а netperf с lzo:1 на 100baseT/Full выдаёт аж 160Mbps !
Tags: linux