GRE - rede de sobreposição

Question

Sim. Você pode configurar as interfaces gre e, em seguida, criptografar o tráfego entre servidores gre com ipsec. A mesma coisa é possível com o ipip (alguns sistemas UNIX chamam este tipo de interfacegif). Mas, na verdade, é um método legado antigo. O que é ainda mais legado é configurar um ipsec não-gre, porque dessa forma será difícil de suportar e quase impossível de rotear, porque nenhum protocolo de roteamento dinâmico é capaz de rodar sobre o ipsec sem interface legado.

Ao mesmo tempo existe uma tecnologia que a Cisco chama de VTI (Interface de túnel virtual) e Juniper chama st (túnel seguro). Ao mesmo tempo é um pouco mais complicado (você precisa criar um tipo especial de interface que seja capaz de lidar com o tráfego IPeterminar ipsec), mas ao mesmo tempo é mais simples, porque não adiciona cabeçalho IP intermediário (embora o mesmo aconteça com gre com ipsec no modo de transporte). O Linux moderno suporta esta tecnologia, além de ser interoperável com equipamentos Cisco e Juniper.

Então, basicamente você tem as seguintes opções, eu as listo em ordem que a complexidade aumenta:

túneis ipip/gre não criptografados (seguros se o seu transporte já estiver protegido por TLS), bastante simples de configurar
IPsec legado puro (obsoleto, mas vale a pena mencionar)
gre/ipip junto com criptografia IPsec
VTI/st

Além disso, há muitos softwares que constroem VPNs no nível do usuário. A principal desvantagem deles é a interoperabilidade limitada - ele só pode se comunicar com o mesmo software. No entanto, na verdade é melhor que o ipsec legado, porque está mais próximo de um roteamento decente. No entanto, se falarmos sobre protocolos de roteamento dinâmico, várias limitações se aplicam e eu não recomendo usá-lo em um ambiente que deveria ser escalonável:

openvpn
túnel
tinto

E finalmente devo notar que se falamos de servidores dedicados que estão localizados emumdatacenter, VPN é um pouco exagerado. A solução correta seria configurar uma VLAN para eles, com endereçamento privado, adicionar essa vlan a um tronco 802.1q que seu servidor irá manipular e criar uma interface vlan. Dessa forma, uma interface ainda será usada (no entanto, a maioria das plataformas de servidor modernas tem pelo menos dois gigabits de cobre, então não vejo problema em ativar mais uma interface Ethernet simples - isso é apenas a coisa mais simples).

Answer 1

Sim. Você pode configurar as interfaces gre e, em seguida, criptografar o tráfego entre servidores gre com ipsec. A mesma coisa é possível com o ipip (alguns sistemas UNIX chamam este tipo de interfacegif). Mas, na verdade, é um método legado antigo. O que é ainda mais legado é configurar um ipsec não-gre, porque dessa forma será difícil de suportar e quase impossível de rotear, porque nenhum protocolo de roteamento dinâmico é capaz de rodar sobre o ipsec sem interface legado.

Ao mesmo tempo existe uma tecnologia que a Cisco chama de VTI (Interface de túnel virtual) e Juniper chama st (túnel seguro). Ao mesmo tempo é um pouco mais complicado (você precisa criar um tipo especial de interface que seja capaz de lidar com o tráfego IPeterminar ipsec), mas ao mesmo tempo é mais simples, porque não adiciona cabeçalho IP intermediário (embora o mesmo aconteça com gre com ipsec no modo de transporte). O Linux moderno suporta esta tecnologia, além de ser interoperável com equipamentos Cisco e Juniper.

Então, basicamente você tem as seguintes opções, eu as listo em ordem que a complexidade aumenta:

túneis ipip/gre não criptografados (seguros se o seu transporte já estiver protegido por TLS), bastante simples de configurar
IPsec legado puro (obsoleto, mas vale a pena mencionar)
gre/ipip junto com criptografia IPsec
VTI/st

Além disso, há muitos softwares que constroem VPNs no nível do usuário. A principal desvantagem deles é a interoperabilidade limitada - ele só pode se comunicar com o mesmo software. No entanto, na verdade é melhor que o ipsec legado, porque está mais próximo de um roteamento decente. No entanto, se falarmos sobre protocolos de roteamento dinâmico, várias limitações se aplicam e eu não recomendo usá-lo em um ambiente que deveria ser escalonável:

openvpn
túnel
tinto

E finalmente devo notar que se falamos de servidores dedicados que estão localizados emumdatacenter, VPN é um pouco exagerado. A solução correta seria configurar uma VLAN para eles, com endereçamento privado, adicionar essa vlan a um tronco 802.1q que seu servidor irá manipular e criar uma interface vlan. Dessa forma, uma interface ainda será usada (no entanto, a maioria das plataformas de servidor modernas tem pelo menos dois gigabits de cobre, então não vejo problema em ativar mais uma interface Ethernet simples - isso é apenas a coisa mais simples).

GRE - rede de sobreposição

Responder1

informação relacionada