Я хотел бы настроить IPsec «сеть-сеть» в мостовом режиме: то есть, когда хосты на каждом сайте не нужно изменять для использования шлюза IPsec, но шлюз IPsec действует как псевдопровод.
Мой план действий таков:
- Настройте IPsec-соединение хостов на каждом шлюзе
- Настройте L2TP (через IPsec) между каждым шлюзом
- Соедините мостом eth0 и lt2p-eth на каждом gw
После этого любые пакеты уровня 2, достигающие eth0 любого gw, должны автоматически туннелироваться (L2TP) безопасным образом (IPsec) на другие шлюзы.
Правильно ли это? Это рекомендуемый подход?
Также: Как это сделать для > 2 шлюзов? Каждому шлюзу нужны оба IPsec SAитуннель L2TP с каждым другим gw? В идеале я хотел бы сделать так, чтобы gw не требовались явные знания о каждом другом индивидуальном gw, но я не могу найти надежный или хотя бы стандартный способ сделать это.
решение1
По моему личному опыту, это так.возможныйно не рекомендуется. На самом деле, я хочу сообщить вам, что вы никогда не должны использовать эту конфигурацию. Позвольте мне объяснить
Режим моста уровня 2 предназначен для того, чтобы не принимать никаких решений о маршрутизации, IPSEC VPN требуют маршрутизации для перемещения пакетов через VPN. Фактически, хост-машина никогда не знает, что передается за пределы ее собственного шлюза. Она отправляет весь трафик на шлюз (если только он не находится в той же подсети), а шлюз выполняет всю маршрутизацию для хоста. Хост никогда не знает ничего больше с этого момента. Маршрутизация уровня 2 выполняется с помощью MAC-адресов. Для выполнения маршрутизации уровня 2 необходимо знать все MAC-адреса, чтобы переместить их в другом направлении.
В сетевой конфигурации хосты не знают, что они проходят через VPN-туннель, и туннелирование выполняется «автоматически» без ведома хост-компьютера.
Возвращаясь к теме. L2TP и IPSEC будут излишними. Вы не хотите использовать оба, так как ваше устройство захочет выбрать один из них, что приведет к конфликту маршрутизации. Вы не сможете принудительно использовать L2TP через VPN-туннель. Когда оба туннеля будут работать, ваш маршрутизатор должен будет принять решение, какой из них использовать. Это, вероятно, будет определяться тем, какие маршруты 1) имеют более высокий приоритет или 2) находятся выше в цепочке, имея приоритет только в соответствии с порядком правил.
Для более чем 2 шлюзов есть много различных переменных, которые делают возможным наличие двух шлюзов. Если два шлюза представляют собой 2 разных соединения WAN, то только один из них может быть активен одновременно. Если оба будут работать, это приведет к конфликту маршрутов. Чтобы преодолеть это, вы можете использовать динамическую маршрутизацию, такую как OSPF, для переключения на вторичный туннель\вторичного ISP и отключения основного.
Вкратце, если только вам не нужно встроить его в свой вопрос, я бы рекомендовал одно устройство L3, которое управляет вашим VPN-туннелем с помощью только одного шлюза. Этот способ наиболее рационален, имеет наименьшее количество подвижных частей и самую простую конфигурацию из возможных.