我想在橋接模式下設定站點到站點 IPsec:也就是說,不需要修改每個站點中的主機即可使用 IPsec 網關,但 IPsec 網關充當偽線。
我的計劃是:
- 在每個網關上設定主機到主機的 IPsec
- 在每個網關之間設定 L2TP(透過 IPsec)
- 橋接每個網關上的 eth0 和 lt2p-eth
此後,到達任何網關的 eth0 的任何第 2 層封包都應自動通過隧道 (L2TP) 安全地 (IPsec) 到其他網關。
它是否正確?這是推薦的方法嗎?
另外:如何為> 2 個網關執行此操作?每個網關是否都需要 IPsec SA和與其他網關建立 L2TP 隧道?理想情況下,我想讓 gw 不需要了解其他每個 gw 的明確知識,但我找不到可靠的甚至標準的方法來做到這一點。
答案1
這是我個人的經驗可能的但不推薦。事實上,我想告訴您的是,您永遠不應該使用此配置。讓我解釋
第 2 層橋接模式旨在不做出任何路由決策,IPSEC VPN 需要路由才能透過 VPN 行動封包。事實上,主機永遠不知道什麼東西通過了它自己的網關。它將所有流量傳送到網關(除非在同一子網路中),並且網關為主機執行所有路由。從那時起,主人就不再知道任何事了。第 2 層路由是透過 MAC 位址完成的。要執行第 2 層路由,您必須知道所有 MAC 位址,以便將它們移向另一個方向。
在網路設定中,主機不知道它們正在通過 VPN 隧道,並且隧道是在主機不知情的情況下「自動」執行的。
回到主題。 L2TP 和 IPSEC 將是多餘的。您不想同時執行這兩項操作,因為您的裝置會選擇其中之一,從而導致路由衝突。您將無法在 VPN 隧道上強制使用 L2TP。當兩條隧道都通過時,您的路由器必須決定要通過哪條隧道。這可能取決於哪些路由 1) 更高優先級或 2) 鏈上較高,僅按規則順序優先。
對於兩個以上的網關,有許多不同的變數在起作用,使得兩個網關成為可能。如果兩個網關是 2 個不同的面向 WAN 的連接,則一次只允許其中一個處於活動狀態。兩者同時啟動會導致路由衝突。為了克服這個問題,您可以使用動態路由(例如 OSPF)來故障轉移到輔助隧道\輔助 ISP 並拆除主隧道。
總之,除非你絕對必須在你的問題中建構它。我建議使用單一 L3 裝置來管理僅使用 1 個閘道的 VPN 隧道。這種方式是最精簡、移動部件最少且配置最簡單的方式。