OpenVPN in einer Jail noch immer nicht möglich?

[arcona]

Hallo,
ist es nach wie vor nicht möglich einen OpenVPN Server in einer Jail zu betreiben?
Wenn ich alles richtig verstanden habe scheitert es, weil in der Jail die IP-Adresse nicht geändert werden kann, keine weiteren IPs hinzugefügt werden können und weil man kein tun/tap Devicer erstellen kann. Ist das noch aktuell?

Kann man der Jail mehr Zugriffe auf die Hardware des Hosts erteilen und so ein tun/tap Device des Hosts in der Jail nutzen?

Grüße.
arcona.

 

[Crest]

Das Problem ist, dass du ohne Vimage keine Jail eigenen Routingtabellen haben kannst und die des Hosts aus Sicherheitsgründen nicht verändern kannst. Du kannst jedoch wahrscheinlich ein tun/tap Interface in den dev_rules durchreichen und die Route statisch eintragen. Schön ist aber was anderes. Alternativ könntest du nen (dynamisches) Routingprotokoll zwischen Host und Jail sprechen und im --up und --down script Routen eintragen lassen.

Kennt jemand den aktuellen Status des Vimage Projekts?

MfG Crest

 

[Yamagi]

Doch, doch, man kann auch ohne VImage eigene Routingtabellen pro Jail haben. Das nennt sich FIB und ist meines Wissens in 7.2 dazugekommen. Viel kann ich dazu nicht sagen, da ich es nie genutzt habe. Aber der prinzipielle Ablauf ist, dass man ein Jail mittel setfib(1) startet. Über die rc.conf geht es auch irgendwie. Allerdings _glaube_ ich, dass man die Routen nicht aus dem Jail heraus ändern kann.

VImage ist halt experimentell in 8.0 drin. Nun wird es debuggt und soll mit 8.2 dann produktiv nutzbar sein. Mehr weiß ich leider auch nicht. Ich würde mich aber freuen, wenn es nicht wieder Verzögerungen gibt.