GRE - red superpuesta

Question

Sí. Puede configurar las interfaces de gre y luego cifrar el tráfico entre servidores de gre con ipsec. Lo mismo se puede lograr con ipip (algunos sistemas UNIX llaman a este tipo de interfazgif). Pero, en realidad, es una forma antigua y heredada. Lo que es aún más heredado es configurar un ipsec que no sea gre, porque de esta manera será difícil de soportar y casi no se podrá enrutar, porque ningún protocolo de enrutamiento dinámico puede ejecutarse sobre el ipsec sin interfaz heredado.

Al mismo tiempo existe una tecnología que Cisco llama VTI (Interfaz de túnel virtual) y Juniper llama a st (túnel seguro). Al mismo tiempo, es un poco más complicado (es necesario crear un tipo especial de interfaz que sea capaz de manejar el tráfico IPyterminar ipsec) pero al mismo tiempo es más simple, porque no agrega un encabezado IP intermedio (aunque también lo hace gre con ipsec en modo de transporte). El Linux moderno admite esta tecnología y, además, es interoperable con equipos Cisco y Juniper.

Básicamente tienes las siguientes opciones, las enumero en orden de complejidad:

Túneles ipip/gre no cifrados (seguros si su transporte ya está protegido con TLS), bastante simples de configurar
IPsec heredado puro (obsoleto, pero vale la pena mencionarlo)
gre/ipip junto con cifrado IPsec
ITV/st

Además, existe una gran cantidad de software que construye VPN a nivel de usuario. La principal desventaja de estos es la interoperabilidad limitada: solo puede comunicarse con el mismo software. Sin embargo, en realidad es mejor que el ipsec heredado, porque está más cerca de un enrutamiento decente. Sin embargo, si hablamos de protocolos de enrutamiento dinámico, se aplican varias limitaciones y no recomiendo usarlo en un entorno que se supone debe ser escalable:

openvpn
túnel
estaño

Y por último debo señalar, que si hablamos de servidores dedicados que se encuentran enunocentro de datos, VPN es un poco exagerada. La solución correcta sería configurar una VLAN para ellos, con direccionamiento privado, agregar esta VLAN a un troncal 802.1q que su servidor manejará y crear una interfaz VLAN. De esta manera, se seguirá utilizando una interfaz (sin embargo, la mayoría de las plataformas de servidores modernas tienen al menos dos gigabits de cobre, por lo que no veo ningún problema para habilitar una interfaz Ethernet más simple; esto es lo más simple).

Answer 1

Sí. Puede configurar las interfaces de gre y luego cifrar el tráfico entre servidores de gre con ipsec. Lo mismo se puede lograr con ipip (algunos sistemas UNIX llaman a este tipo de interfazgif). Pero, en realidad, es una forma antigua y heredada. Lo que es aún más heredado es configurar un ipsec que no sea gre, porque de esta manera será difícil de soportar y casi no se podrá enrutar, porque ningún protocolo de enrutamiento dinámico puede ejecutarse sobre el ipsec sin interfaz heredado.

Al mismo tiempo existe una tecnología que Cisco llama VTI (Interfaz de túnel virtual) y Juniper llama a st (túnel seguro). Al mismo tiempo, es un poco más complicado (es necesario crear un tipo especial de interfaz que sea capaz de manejar el tráfico IPyterminar ipsec) pero al mismo tiempo es más simple, porque no agrega un encabezado IP intermedio (aunque también lo hace gre con ipsec en modo de transporte). El Linux moderno admite esta tecnología y, además, es interoperable con equipos Cisco y Juniper.

Básicamente tienes las siguientes opciones, las enumero en orden de complejidad:

Túneles ipip/gre no cifrados (seguros si su transporte ya está protegido con TLS), bastante simples de configurar
IPsec heredado puro (obsoleto, pero vale la pena mencionarlo)
gre/ipip junto con cifrado IPsec
ITV/st

Además, existe una gran cantidad de software que construye VPN a nivel de usuario. La principal desventaja de estos es la interoperabilidad limitada: solo puede comunicarse con el mismo software. Sin embargo, en realidad es mejor que el ipsec heredado, porque está más cerca de un enrutamiento decente. Sin embargo, si hablamos de protocolos de enrutamiento dinámico, se aplican varias limitaciones y no recomiendo usarlo en un entorno que se supone debe ser escalable:

openvpn
túnel
estaño

Y por último debo señalar, que si hablamos de servidores dedicados que se encuentran enunocentro de datos, VPN es un poco exagerada. La solución correcta sería configurar una VLAN para ellos, con direccionamiento privado, agregar esta VLAN a un troncal 802.1q que su servidor manejará y crear una interfaz VLAN. De esta manera, se seguirá utilizando una interfaz (sin embargo, la mayoría de las plataformas de servidores modernas tienen al menos dos gigabits de cobre, por lo que no veo ningún problema para habilitar una interfaz Ethernet más simple; esto es lo más simple).

GRE - red superpuesta

Respuesta1

información relacionada