サイト間 IPsec をブリッジ モードで設定したいと思います。つまり、各サイトのホストを IPsec ゲートウェイを使用するように変更する必要はなく、IPsec ゲートウェイが疑似回線として機能します。
これを実行するための私の計画は次のとおりです。
- 各GWにホスト間IPsecを設定する
- 各GW間にL2TP(IPsec経由)を設定する
- 各GWのeth0とlt2p-ethをブリッジする
その後、任意のゲートウェイの eth0 に到達するすべてのレイヤー 2 パケットは、他のゲートウェイに安全 (IPsec) に自動的にトンネリング (L2TP) されるようになります。
これは正しいですか? これは推奨されるアプローチですか?
また、2台以上のゲートウェイでこれを行うにはどうすればよいですか?各ゲートウェイにはIPsec SAが必要ですか?そして他のすべての GW との L2TP トンネルですか? 理想的には、GW が他のすべての個別の GW に関する明示的な知識を必要としないようにしたいのですが、そのための信頼できる方法や標準的な方法が見つかりません。
答え1
これは私の個人的な経験ですが可能しかし、推奨されません。実際、この設定は絶対に使用しないでください。説明しましょう
レイヤー 2 ブリッジ モードは、ルーティングの決定を行わないことを意図しています。IPSEC VPN では、VPN 経由でパケットを移動するためにルーティングが必要です。実際、ホスト マシンは、自身のゲートウェイを越えて何が渡されるかを知ることはありません。すべてのトラフィックをゲートウェイに送信し (同じサブネット内を除く)、ゲートウェイがホストのすべてのルーティングを実行します。ホストは、その時点からそれ以上のことは認識しません。レイヤー 2 ルーティングは、MAC アドレスを使用して行われます。レイヤー 2 ルーティングを実行するには、MAC アドレスをすべて知っておく必要があります。そうしないと、MAC アドレスを別の方向に移動できません。
ネットワーク構成では、ホストは VPN トンネルを経由していることを知らず、トンネリングはホスト コンピュータの知らないうちに「自動的に」実行されます。
話を元に戻します。L2TP と IPSEC は冗長です。デバイスがどちらか一方を選択し、ルーティングの競合が発生するため、両方を実行することは望ましくありません。VPN トンネル経由で L2TP を強制することはできません。両方のトンネルがある場合、ルーターはどちらを経由するかを決定する必要があります。これはおそらく、ルートの 1) 優先度が高いか、または 2) チェーン内で上位にあるかによって決まり、ルールの順序によってのみ優先されます。
ゲートウェイが 2 つ以上ある場合、2 つのゲートウェイを可能にするさまざまな変数が作用します。2 つのゲートウェイが 2 つの異なる WAN に面した接続である場合、一度にアクティブにできるのは 1 つだけです。両方が稼働していると、ルートの競合が発生します。これを克服するには、OSPF などの動的ルーティングを使用して、セカンダリ トンネル\セカンダリ ISP にフェイルオーバーし、プライマリを切断します。
要約すると、質問で述べたように絶対に構築しなければならない場合を除き、1 つのゲートウェイのみで VPN トンネルを管理する単一の L3 デバイスをお勧めします。この方法は、最も合理化され、可動部品の数が少なく、可能な限り最もシンプルな構成です。