브리지 모드에서 사이트 간 IPsec을 설정하고 싶습니다. 즉, IPsec 게이트웨이를 사용하기 위해 각 사이트의 호스트를 수정할 필요가 없지만 IPsec 게이트웨이는 유사 회선 역할을 하는 경우입니다.
내 계획은 다음과 같습니다.
- 각 gw에서 호스트 간 IPsec 설정
- 각 gw 사이에 L2TP(IPsec을 통해) 설정
- 각 gw에서 eth0과 lt2p-eth를 연결합니다.
그런 다음 gw의 eth0에 도달하는 모든 레이어 2 패킷은 자동으로 다른 게이트웨이로 안전하게(IPsec) 터널링(L2TP)되어야 합니다.
이 올바른지? 이것이 권장되는 접근 방식입니까?
또한: 2개 이상의 게이트웨이에 대해 이 작업을 어떻게 수행합니까? 각 게이트웨이에 IPsec SA가 모두 필요합니까?그리고다른 모든 gw와 L2TP 터널? 이상적으로는 gw가 다른 모든 개별 gw에 대한 명시적인 지식이 필요하지 않도록 만들고 싶지만 그렇게 하는 신뢰할 수 있거나 표준적인 방법을 찾을 수 없습니다.
답변1
내 개인적인 경험으로는 이렇다.가능한그러나 권장되지 않습니다. 사실, 이 구성을 절대 사용해서는 안 된다는 점을 알려드리고 싶습니다. 설명하겠습니다
레이어 2 브리지 모드는 라우팅 결정을 내리지 않기 위한 것이며, IPSEC VPN은 VPN을 통해 패킷을 이동하기 위해 라우팅이 필요합니다. 실제로 호스트 시스템은 자신의 게이트웨이를 넘어 무엇이 전달되는지 결코 알 수 없습니다. 동일한 서브넷에 있지 않은 경우 모든 트래픽을 게이트웨이로 보내고 게이트웨이는 호스트에 대한 모든 라우팅을 수행합니다. 호스트는 그 시점부터 더 이상 아무것도 인식하지 못합니다. 레이어 2 라우팅은 MAC 주소를 사용하여 수행됩니다. 레이어 2 라우팅을 수행하려면 MAC 주소를 다른 방향으로 이동하기 위해 모든 MAC 주소를 알아야 합니다.
네트워크 구성에서 호스트는 자신이 VPN 터널을 통과하고 있다는 사실을 알지 못하며 터널링은 호스트 컴퓨터에 대한 인식 없이 ""자동으로"" 수행됩니다.
주제로 돌아가기. L2TP와 IPSEC는 중복됩니다. 장치가 둘 중 하나를 선택하려고 하므로 두 가지를 모두 수행하고 싶지 않아 라우팅 충돌이 발생합니다. VPN 터널을 통해 L2TP를 강제로 적용할 수 없습니다. 두 터널이 모두 있는 경우 라우터는 어느 터널을 통과할지 결정해야 합니다. 이는 아마도 1) 더 높은 우선 순위 또는 2) 체인에서 더 높은 경로에 따라 결정되며 규칙 순서에 의해서만 우선 순위를 갖습니다.
2개 이상의 게이트웨이의 경우 2개의 게이트웨이를 가능하게 하는 다양한 변수가 있습니다. 두 게이트웨이가 서로 다른 2개의 WAN 연결인 경우 한 번에 하나만 활성화할 수 있습니다. 둘 다 작동 중이면 경로 충돌이 발생합니다. 이 문제를 극복하려면 OSPF와 같은 동적 라우팅을 사용하여 보조 터널\보조 ISP로 장애 조치하고 기본 ISP를 해제할 수 있습니다.
요약하자면, 질문에 반드시 그런 방식으로 구축해야 하는 경우가 아니면 말입니다. 단 1개의 게이트웨이로 VPN 터널을 관리하는 단일 L3 장치를 권장합니다. 이 방법은 가장 능률적이고 움직이는 부품의 양이 가장 적으며 가능한 가장 간단한 구성입니다.