Назад | Перейти на главную страницу

Настройка межсайтового IPsec в мостовом режиме

Я хотел бы настроить IPsec между сайтами в мостовом режиме: то есть, когда узлы на каждом сайте не нужно изменять для использования шлюза IPsec, но шлюз IPsec действует как псевдопровод.

Мой план сделать это:

  1. Настройте IPsec между хостами на каждом gw
  2. Настройте L2TP (через IPsec) для каждого gw
  3. Соедините eth0 и lt2p-eth на каждом gw

После этого любые пакеты уровня 2, которые достигают eth0 любого gw, должны автоматически туннелироваться (L2TP) по безопасному (IPsec) туннелю на другие шлюзы.

Это верно? Это рекомендуемый подход?

Также: как это сделать для> 2 шлюзов? Требуется ли каждому шлюзу как IPsec SA? и туннель L2TP с каждым другим gw? В идеале я бы хотел сделать так, чтобы gw не требовало явных знаний о каждом отдельном gw, но я не могу найти надежного или даже стандартного способа сделать это.

По моему личному опыту, это возможно но не рекомендуется. Фактически, я хочу сообщить вам, что вы никогда не должны использовать эту конфигурацию. Позволь мне объяснить

Режим моста 2-го уровня предназначен для того, чтобы не принимать никаких решений о маршрутизации, IPSEC VPN требует маршрутизации для передачи пакетов через VPN. Фактически, хост-машина никогда не знает, что передается за ее собственный шлюз. Он отправляет весь трафик на шлюз (если он не находится в той же подсети), и шлюз выполняет всю маршрутизацию для хоста. С этого момента ведущий больше ничего не знает. Маршрутизация уровня 2 выполняется с помощью MAC-адресов. Для выполнения маршрутизации уровня 2 вы должны знать все MAC-адреса, чтобы переместить их в другом направлении.

В сетевой конфигурации хосты не знают, что они проходят через VPN-туннель, и туннелирование выполняется «автоматически» без ведома главного компьютера.

Возвращаясь к теме. L2TP и IPSEC будут избыточными. Вы не хотите выполнять и то, и другое, поскольку ваше устройство захочет выбрать одно или другое, что вызовет конфликт маршрутизации. Вы не сможете принудительно использовать L2TP через VPN-туннель. Когда оба туннеля туннелируют, ваш маршрутизатор должен будет решить, какой из них перейти. Вероятно, это будет определяться тем, какие маршруты имеют 1) более высокий приоритет или 2) более высокий приоритет в цепочке, имея приоритет только в соответствии с порядком правил.

Для более чем двух шлюзов существует множество различных переменных, которые делают возможными два шлюза. Если два шлюза представляют собой 2 разных подключения к глобальной сети, тогда только одному будет разрешено быть активным одновременно. Поднятие обоих вызовет конфликт маршрута. Чтобы преодолеть это, вы можете использовать динамическую маршрутизацию, такую ​​как OSPF, для переключения на вторичный туннель \ вторичного провайдера и разорвать первичный.

Таким образом, если вам абсолютно не нужно строить его в своем вопросе. Я бы порекомендовал одно устройство L3, которое управляет вашим VPN-туннелем, используя только 1 шлюз. Это наиболее упрощенный способ с наименьшим количеством движущихся частей и простейшей конфигурацией.