<div dir="ltr">I see what you want me to do. But it does incur an extra MAC layer header to each VPN packet, more fragmentation.<div>And broadcasts leak to all peers.</div><div>It sure saves you from doing any improvements, but there are side effects that are undesirable to many customers.</div><div>This is specially a problem if I want two VPN connections between two sites using redundant connections, we get an instant L2 loop.</div><div>With my proposal this doesn`t happen since the traffic between peers is still L3.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 12, 2015 at 4:45 PM, Guus Sliepen <span dir="ltr"><<a href="mailto:guus@tinc-vpn.org" target="_blank">guus@tinc-vpn.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, May 12, 2015 at 04:27:10PM -0300, Marcelo Pacheco wrote:<br>
<br>
> Consider the challenge of having completely dynamic routing between vpn<br>
> peers. In one minute I might have 10000 routes towards one specific peer,<br>
> and hour latter I might have NONE. And I need to diferentiate each peer at<br>
> the kernel routing layer.<br>
> And no, it can't be a pure bridge, it has to be L3 routing.<br>
<br>
</span>Although the manual says that switch mode is primarily useful for<br>
bridging Ethernet segments, it doesn't say you cannot use it for other<br>
things, including what you want.<br>
<br>
In switch mode, tinc routes solely based on the Ethernet header.<br>
Whatever you want to do with that is up to you. If you want to add or<br>
remove 10000 routes to a specific node, then just add those routes with<br>
the gateway address set to that node. If you want to run OSPF or any<br>
other routing protocol on top of tinc, that is possible as well.<br>
<span class=""><br>
> Instead of creating a heap of tun devices, there's a more logical<br>
> solution. Create a TAP device, and emulate ARP on the VPN software.<br>
> The many peers would form a virtual ethernet device, where each tunnel<br>
> has a separate virtual MAC address.<br>
<br>
</span>That is already exactly what happens in switch mode; tinc creates a tap<br>
interface and forms a virtual switch. It doesn't have to emulate ARP at<br>
all, the kernel will generate ARP packets as usual. Each node's tap<br>
interface has its own MAC address.<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
Met vriendelijke groet / with kind regards,<br>
     Guus Sliepen <<a href="mailto:guus@tinc-vpn.org">guus@tinc-vpn.org</a>><br>
</div></div><br>_______________________________________________<br>
tinc-devel mailing list<br>
<a href="mailto:tinc-devel@tinc-vpn.org">tinc-devel@tinc-vpn.org</a><br>
<a href="http://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc-devel" target="_blank">http://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc-devel</a><br></blockquote></div><br></div>