Как я уже писал применительно к libvirt'у - поддержкой сетевых настроек он отнюдь не блещет. Поэтому я в большинстве случаев наcтраиваю сеть руками (кроме простейших, вида "подцепить виртуалку к существующему бриджу").
Решение проблемы с доступом к немаршрутизируемым виртуалкам пришло с неожиданной стороны - а зачем нам, собственно пробрасывать все соединения, когда нужно-то одно-два заранее известных? И тут на сцене появляется rinetd - tcp-proxy.
Давно хотел выучить что-нибудь скриптовое помимо php, к тому же, мне перестало хватать bash'а для скриптов. Вывод?
Выбирать пришлось из python'а, perl'а и ruby.
По мере разрастания сети хотя бы до размера в 50 хостов и пяток свитчей, появляется потребность это где-то как-то документировать. Желательно при этом, чтобы поддержание записей в актуальном состоянии занимало минимум времени.
Требования к учёту:
Бумажки сразу отметаем, как несовременные, неудобные и неподдерживаемые. Держать их в актуальном состоянии - адов труд.
Давайте посмотрим, что мы можем задействовать для ведения учёта.
client
remote <server ip> 6194
proto tcp
dev tun
keepalive 10 60
mssfix
ca /etc/openvpn/ca.crt
cert /etc/openvpn/vpn-client.crt
key /etc/openvpn/vpn-client.key
dh /etc/openvpn/dh1024.pem
daemon
# uname -a
OpenBSD openbsd-test.my.domain 5.4 GENERIC#37 i386
# pwd
/usr/ports/shells/bash
# make
Fatal: building ports requires correctly installed X11 (in shells/bash)
*** Error 1 in /usr/ports/shells/bash (/usr/ports/infrastructure/mk/bsd.port.mk:3437 '.BEGIN': @exit 1)
#
Не знаю, что они понимают под безопасностью, но это явно как-то иначе, чем "меньше кода в системе - нечего ломать".