Я изучаю использование транспортного режима ipsec для обеспечения безопасного доступа ipv6 между двумя локальными сетями и несколькими удаленными пользователями. Мне нравится комбинация плоского глобального одноадресного адресного пространства ipv6 в сочетании с ipv6, потому что вы можете избавиться от всех подсетей маршрутизации, которые необходимы для туннелей и VPN. Что мне не нравится, так это то, что транспортный режим ipsec является сквозным, что заставит меня установить политику ipsec на серверах в моей внутренней сети. Есть ли способ прервать передачу ipsec на брандмауэре, а затем передать пакеты с открытым текстом во внутреннюю локальную сеть?
Для справки в настоящее время я использую OpenVPN для соединения ipv4, и мне надоело иметь дело со всей дополнительной маршрутизацией. Раньше я не пользовался ipsec.
Транспортный режим IPsec спроектирован как сквозной; это единственный способ обеспечить безопасность. Почему бы вам не распределять (минимальные) накладные расходы на шифрование на все ваши серверы, а не на шлюз?
Вы можете настроить политики таким образом, чтобы шифровались только сообщения между внутренними и внешними соединениями, а между внутренними - нет.
Если вам нужно осмотреть межсайтовый трафик по какой-то причине, скажем, с IDS / IPS, я боюсь, что вы застряли с туннелями IPsec.