[Outofthebox] idea per possibile aggregazione di smanettoni

Angelo Dell'Aera buffer at olografix.org
Tue Sep 6 15:42:15 CEST 2005 

On Tue, 06 Sep 2005 13:10:16 +0200
mayhem <mayhem at recursiva.org> wrote:
 
> questo progetto in italia esiste gia' da anni e ne faccio pure parte.
> se deidiamo di partire con qualcosa di simile potremmo farlo tutti
> assieme. la vpn si basa su openvpn ed il routing e' fatto con quel che
> capita (cisco, quagga, etc). all'interno della rete vengono
> ripubblicati una serie di servizi ritenuti "sicuri".


Infatti quando ne ho parlato con nail mi ha ricordato del progetto
littlenet a cui diedi un'occhiata veloce a casa di void molto tempo fa.
Lo stesso nail (e forse anche void quest'estate) mi hanno detto pero'
che di littlenet e' rimasto il core e poca altra roba. Personalmente mi
piacerebbe estendere quella rete implementando servizi quali ad esempio


	* autenticazione centralizzata 
	  Vorrei evitare di fare N volte lo stesso account e non mi piace
          l'idea di un unico account per tutti. Piuttosto preferisco che
          la gente arrivi in ssh dal suo account e poi vada di su verso
          root.


	* un sistema di DDNS per registrare a un hostname l'IP con cui entra
          nella rete in quanto non mi aspetto che i leaf node della rete
          siano sempre connessi.

	
	* un sistema di load balancing sull'entry point VPN
	  Stavo pensando di riproporre una struttura littlenet-like con i
	  nodi del core che parlano tra di loro BGP. Da ogni nodo del core
	  inoltre si diparte un'area OSPF. L'accesso inizialmente dovrebbe
	  passare da un'area OSPF dove immagino la presenza di un paio di
	  server DNS, un firewall e poco altro. Quando si arriva in VPN mi	
          piacerebbe avere un load balancing a livello di DNS (fosse
	  anche un banalissimo round-robin) in modo che i server nell'area di
          ingresso possano rigirare la richiesta a un server DNS all'
          interno dell'area selezionata in fase di load balancing. A
	  quel punto, stabilito chi deve rispondere alla richiesta il client
	  si aggancia all'entry point VPN ed e' in rete. A questo punto il
	  traffico diretto dall'area OSPF verso le altre aree puo' essere
	  filtrato lasciando aperto soltanto 

		* DNS consentito soltanto ai due DNS server (source)
		* IPsec (che se si mette su una SNAT potrebbe essere consentito
			soltanto agli IP privati della rete)

	* aree OSPF "tematiche"
	  Ad esempio un'area in cui fare esperimenti di routing senza far
	  crollare tutto e amenita' simili.

	* varie ed eventuali


Regards.

-- 

Angelo Dell'Aera 'buffer' 
Antifork Research, Inc.	  	http://buffer.antifork.org
Metro Olografix

PGP information in e-mail header


-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://mail.olografix.org/pipermail/outofthebox/attachments/20050906/f4209555/attachment-0002.bin>

More information about the Outofthebox mailing list