Gostaria de configurar o IPsec site a site em modo de ponte: ou seja, onde os hosts em cada site não precisam ser modificados para usar o gateway IPsec, mas o gateway IPsec atua como um pseudowire.
Meu plano para fazer isso é:
- Configure o IPsec host a host em cada gw
- Configure L2TP (sobre IPsec) entre cada gw
- Faça a ponte entre eth0 e lt2p-eth em cada gw
Depois disso, quaisquer pacotes da Camada 2 que cheguem à eth0 de qualquer gw deverão ser automaticamente encapsulados (L2TP) de forma segura (IPsec) para os outros gateways.
Isso está correto? Esta é a abordagem recomendada?
Além disso: como faço isso para> 2 gateways? Cada gateway precisa de uma SA IPseceum túnel L2TP com todos os outros gw? Idealmente, eu gostaria de fazer com que os gw não precisassem de conhecimento explícito de todos os outros gw individuais, mas não consigo encontrar uma maneira confiável ou mesmo padrão de fazer isso.
Responder1
É minha experiência pessoal que isso épossívelmas não recomendado. Na verdade, quero comunicar a você que você nunca deve usar esta configuração. Deixe-me explicar
O modo de ponte da camada 2 destina-se a não tomar nenhuma decisão de roteamento. As VPNs IPSEC exigem roteamento para mover os pacotes pela VPN. Na verdade, uma máquina host nunca sabe o que é passado além do seu próprio gateway. Ele envia todo o tráfego para o gateway (a menos que esteja na mesma sub-rede) e o gateway executa todo o roteamento para o host. O anfitrião nunca mais fica sabendo de mais nada a partir desse ponto. O roteamento da camada 2 é feito com endereços MAC. Para realizar o roteamento da camada 2 você deve conhecer todos os endereços MAC para movê-los em outra direção.
Em uma configuração de rede, os hosts não sabem que estão passando pelo túnel VPN e o tunelamento é executado ""automaticamente"" sem o conhecimento do computador host.
Voltando ao assunto. L2TP e IPSEC seriam redundantes. Você não deseja executar ambos, pois seu dispositivo desejará escolher um ou outro, causando um conflito de roteamento. Você não seria capaz de forçar o L2TP no túnel VPN. Quando os dois túneis, seu roteador teria que tomar uma decisão sobre qual passar. Isso provavelmente seria determinado por quais rotas eram 1) de maior prioridade ou 2) de maior prioridade na cadeia, tendo precedência apenas pela ordem das regras.
Para mais de 2 gateways, existem muitas variáveis diferentes em jogo que tornariam possíveis dois gateways. Se os dois gateways forem duas conexões diferentes voltadas para WAN, apenas um poderá estar ativo por vez. Ambos estando em pé causaria um conflito de rota. Para superar isso, você pode usar roteamento dinâmico, como OSPF, para fazer failover para o túnel secundário\ISP secundário e desmontar o primário.
Em resumo, a menos que você absolutamente precise construir isso em sua pergunta. Eu recomendaria um único dispositivo L3 que gerencie seu túnel VPN com apenas 1 gateway. Desta forma é o mais simplificado, com menor quantidade de peças móveis e com a configuração mais simples possível.