Me gustaría configurar IPsec de sitio a sitio en modo puente: es decir, donde no es necesario modificar los hosts de cada sitio para usar la puerta de enlace IPsec, pero la puerta de enlace IPsec actúa como un pseudocable.
Mi plan para hacer esto es:
- Configure IPsec de host a host en cada gw
- Configure L2TP (a través de IPsec) entre cada gw
- Puentee el eth0 y el lt2p-eth en cada gw
Después de eso, cualquier paquete de Capa 2 que llegue a eth0 de cualquier gw debe ser tunelizado automáticamente (L2TP) de forma segura (IPsec) a las otras puertas de enlace.
¿Es esto correcto? ¿Es este el enfoque recomendado?
Además: ¿Cómo hago esto para > 2 puertas de enlace? ¿Cada puerta de enlace necesita una IPsec SA?y¿Un túnel L2TP con cada dos gw? Idealmente, me gustaría lograr que los gw no necesiten conocimiento explícito de todos los demás gw individuales, pero no puedo encontrar una manera confiable o incluso estándar de hacerlo.
Respuesta1
Es mi experiencia personal que esto esposiblepero no recomendado. De hecho, quiero comunicarte que nunca deberías utilizar esta configuración. Dejame explicar
El modo puente de capa 2 está destinado a no tomar decisiones de enrutamiento; las VPN IPSEC requieren enrutamiento para poder mover los paquetes a través de la VPN. De hecho, una máquina host nunca sabe lo que pasa más allá de su propia puerta de enlace. Envía todo el tráfico a la puerta de enlace (a menos que esté en la misma subred) y la puerta de enlace realiza todo el enrutamiento para el host. El anfitrión nunca se entera de nada más a partir de ese momento. El enrutamiento de capa 2 se realiza con direcciones MAC. Para realizar el enrutamiento de capa 2, debe conocer todas las direcciones MAC para poder moverlas en otra dirección.
En una configuración de red, los hosts no saben que están pasando por el túnel VPN y el túnel se realiza "automáticamente" sin el conocimiento de la computadora host.
Volviendo al tema. L2TP e IPSEC serían redundantes. No desea realizar ambas cosas ya que su dispositivo querrá elegir una u otra, lo que provocará un conflicto de enrutamiento. No podrá forzar L2TP a través del túnel VPN. Cuando ambos túneles, su enrutador tendría que tomar una decisión sobre cuál pasar. Esto probablemente estaría determinado por qué rutas eran 1) de mayor prioridad o 2) más altas en la cadena, teniendo prioridad solo por el orden de las reglas.
Para más de 2 puertas de enlace, hay muchas variables diferentes en juego que harían posibles dos puertas de enlace. Si las dos puertas de enlace son 2 conexiones WAN diferentes, entonces solo se permitirá que una esté activa a la vez. Si ambos estuvieran activos causaría un conflicto de ruta. Para superar esto, puede utilizar enrutamiento dinámico como OSPF para realizar una conmutación por error al túnel secundario/ISP secundario y desactivar el principal.
En resumen, a menos que sea absolutamente necesario incluirlo en su pregunta. Recomendaría un único dispositivo L3 que administre su túnel VPN con solo 1 puerta de enlace. De esta manera se consigue la configuración más sencilla, con la menor cantidad de piezas móviles y la más sencilla posible.