Ich möchte Site-to-Site-IPsec im Bridge-Modus einrichten. Das bedeutet, dass die Hosts an den einzelnen Sites nicht geändert werden müssen, um das IPsec-Gateway zu verwenden, sondern das IPsec-Gateway als Pseudowire fungiert.
Mein Plan hierzu ist:
- Richten Sie Host-to-Host IPsec auf jedem GW ein
- Richten Sie L2TP (über IPsec) zwischen jedem GW ein
- Überbrücken Sie eth0 und lt2p-eth auf jedem GW
Danach sollten alle Layer-2-Pakete, die eth0 eines beliebigen GW erreichen, automatisch sicher (IPsec) zu den anderen Gateways getunnelt (L2TP).
Ist das richtig? Ist das der empfohlene Ansatz?
Außerdem: Wie mache ich das für > 2 Gateways? Benötigt jedes Gateway sowohl eine IPsec SAUndein L2TP-Tunnel mit jedem anderen GW? Idealerweise würde ich es gerne so machen, dass GWs nicht explizit über jedes einzelne andere GW Bescheid wissen müssen, aber ich kann keine zuverlässige oder gar standardmäßige Methode dafür finden.
Antwort1
Meiner persönlichen Erfahrung nach ist diesmöglichaber nicht empfohlen. Tatsächlich möchte ich Ihnen mitteilen, dass Sie diese Konfiguration niemals verwenden sollten. Lassen Sie mich erklären
Der Layer-2-Bridge-Modus soll keine Routing-Entscheidungen treffen, IPSEC-VPNs erfordern Routing, um die Pakete über das VPN zu bewegen. Tatsächlich weiß ein Host-Rechner nie, was über sein eigenes Gateway hinausgeht. Er sendet den gesamten Verkehr an das Gateway (es sei denn, er befindet sich im selben Subnetz) und das Gateway führt das gesamte Routing für den Host durch. Der Host erfährt von diesem Punkt an nie mehr etwas. Layer-2-Routing wird mit MAC-Adressen durchgeführt. Um Layer-2-Routing durchzuführen, müssen Sie alle MAC-Adressen kennen, um sie in eine andere Richtung zu bewegen.
In einer Netzwerkkonfiguration wissen die Hosts nicht, dass sie über den VPN-Tunnel gehen, und das Tunneln wird „automatisch“ ohne Wissen des Hostcomputers durchgeführt.
Zurück zum Thema. L2TP und IPSEC wären überflüssig. Sie möchten nicht beides ausführen, da Ihr Gerät sich für das eine oder das andere entscheiden würde, was zu einem Routing-Konflikt führen würde. Sie könnten L2TP nicht über den VPN-Tunnel erzwingen. Wenn beide Tunnel vorhanden sind, müsste Ihr Router entscheiden, über welchen er geht. Dies würde wahrscheinlich dadurch bestimmt, welche Routen 1) eine höhere Priorität oder 2) weiter oben in der Kette haben und nur aufgrund der Regelreihenfolge Vorrang haben.
Bei mehr als 2 Gateways gibt es viele verschiedene Variablen, die zwei Gateways möglich machen. Wenn die beiden Gateways zwei verschiedene WAN-Verbindungen sind, darf nur eine gleichzeitig aktiv sein. Wenn beide aktiv sind, würde dies einen Routenkonflikt verursachen. Um dies zu umgehen, können Sie dynamisches Routing wie OSPF verwenden, um ein Failover zum sekundären Tunnel/sekundären ISP durchzuführen und den primären abzuschalten.
Zusammenfassend: Sofern Sie es nicht unbedingt so aufbauen müssen, wie in Ihrer Frage beschrieben, würde ich ein einzelnes L3-Gerät empfehlen, das Ihren VPN-Tunnel mit nur einem Gateway verwaltet. Dies ist die effizienteste, mit den wenigsten beweglichen Teilen und der einfachsten Konfiguration, die möglich ist.