Очень просто, не всегда можно применить строгие рамки определений к конкретному техническому решению.

Linux KVM это модуль ядра Linux, то есть гипервизор запускается на базе ядра общего назначения, а у XEN собственное ядро, для примера. Но при этом KVM выполняется в пространстве ядра ведь, а значит может считаться в совокупности с ядром Linux, как гипервизор первого типа, если скажем конкретная ОС будет выполнять только функции виртуализации, без предоставления других сервисов юзерспейсу.

Спасибо большое за объяснение. Как итог, большой разницы не будет, просто хостовая ОС будет потреблять свои ресурсы...

Еще раз спасибо

А в Routing - OSPF - Neighbors какой статус у пиров?

Уже разобрался вроде, долбанный NAT мешал :(

Натил все соединения? В том числе и между сетями?))

Не совсем.
Но без этого все из другой подсети видят тебя как шлюз твоей сети, а не именно твой IP.

Добрый день. Подскажите как лучше сделать такую схему:
юзер подключается по VPN к сетке. хочу что бы он имел доступ не ко всей сети, а только к одному/несколько ip адресам.

ip-firewall-filter

там создать для даного срц. адреса(подсеть юзеров ВПН) акцепт на дст.адреслист и после этого еще одно правило для даного срц.адреса с дропом на дст.андрес=локалка

ну как то так если ОЧЕНЬ ГРУБО

Тогда надо каждому IP выдавать. А с путём не получится?

Пулом

выдавай ВПН-юзерам из пула. И всему пулу запрети ходить в локалку КРОМЕ как к одному серверу

1192

Там не один адрес для всех. Там доступ к их рабочим компами. Т. Е. каждой селëдке отдельная бочка

А какой впн? А то может складывать клиентов в interface list просто можно

он хочет создать разрешения 1 юзер - 1 внутренний IP. Уникальные комбинации.
Но это неправильный подход. Либо очень громоздко будет. Можно в отдельную цепочку в фаерволле это засунуть, но всё же громоздко

а есть разница?

да. именно так