URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 86390
[ Назад ]

Исходное сообщение
"Обход лимита команд push в OpenVPN"

Отправлено Евгений , 25-Авг-09 16:40 
Имеется сервер на Debian 5, на котором благополучно установлен OpenVPN для доступа из одной сети в другую. Возникла необходимость прописать на машинах клиентов роуты. Когда, в конфиге сервера, число команд push переваливает за 250 (ну столько надо маршрутов), то вываливается сообщение <<Options error: Maximum length of --push buffer (2048) has been exceeded>>
Как обойти данную ошибку связанную с размером буффера?

Содержание

Сообщения в этом обсуждении
"Обход лимита команд push в OpenVPN"
Отправлено alonefox , 27-Авг-09 09:06 
Не думаю, что без правки исходников со стороны и клиента и сервера это будет возможно.
Подскажите, может это можно решить другими путями?
Маршруты в студию :)

the story:
У меня стояла задача, что маршрутов было крайне много... По OpenVPN я каждому клиенту писал список хостов в "управлении", которые ему должны были доступны. Чтобы избавится от большого числа маршрутов, просто всем стал "светить" всю сеть 10.8.X.0/24, а уже файерволом на сервере OpenVPN стал открывать доступ таблицами к тем хостам, которые клиенту разрешены.

P.S. Раскройте специфику выполняемой задачи, и думаю, вам здесь помогут другими путями


"Обход лимита команд push в OpenVPN"
Отправлено ALex_hha , 30-Авг-09 00:07 
>Имеется сервер на Debian 5, на котором благополучно установлен OpenVPN для доступа из одной сети в другую. Возникла необходимость прописать на машинах клиентов роуты. Когда, в конфиге сервера, число команд push переваливает за 250 (ну столько надо маршрутов), то вываливается сообщение <<Options error: Maximum length of --push buffer (2048) has been exceeded>>
>Как обойти данную ошибку связанную с размером буффера?

Может посмотреть в сторону max-routes-per-client

--max-routes-per-client n
Allow  a  maximum of n internal routes per client (default=256).
This is designed to help contain DoS attacks where an  authenti-
cated  client  floods  the server with packets appearing to come
from many unique MAC addresses, forcing the  server  to  deplete
virtual  memory as its internal routing table expands.  This di-
rective can be used in a --client-config-dir file or auto-gener-
ated  by  a --client-connect script to override the global value
for a particular client.

Note that this directive affects OpenVPN’s internal routing  ta-
ble, not the kernel routing table.