SRo*_*mes 5 networking ipsec gateway l2tp bridge
我想在桥接模式下设置站点到站点 IPsec:也就是说,不需要修改每个站点中的主机即可使用 IPsec 网关,但 IPsec 网关充当伪线。
我的计划是:
此后,到达任何网关的 eth0 的任何第 2 层数据包都应自动通过隧道 (L2TP) 安全地 (IPsec) 到其他网关。
它是否正确?这是推荐的方法吗?
另外:如何为> 2 个网关执行此操作?每个网关是否都需要与其他网关建立 IPsec SA和L2TP 隧道?理想情况下,我想让 gw 不需要了解其他每个 gw 的明确知识,但我找不到可靠的甚至标准的方法来做到这一点。
根据我个人的经验,这是可能的,但不推荐。事实上,我想告诉您的是,您永远不应该使用此配置。让我解释
第 2 层桥接模式旨在不做出任何路由决策,IPSEC VPN 需要路由才能通过 VPN 移动数据包。事实上,主机永远不知道什么东西通过了它自己的网关。它将所有流量发送到网关(除非在同一子网中),并且网关为主机执行所有路由。从那时起,主人就不再知道任何事情了。第 2 层路由是通过 MAC 地址完成的。要执行第 2 层路由,您必须知道所有 MAC 地址,以便将它们移向另一个方向。
在网络配置中,主机不知道它们正在通过 VPN 隧道,并且隧道是在主机不知情的情况下“自动”执行的。
回到主题。L2TP 和 IPSEC 将是多余的。您不想同时执行这两项操作,因为您的设备会选择其中之一,从而导致路由冲突。您将无法在 VPN 隧道上强制使用 L2TP。当两条隧道都通过时,您的路由器必须决定要通过哪条隧道。这可能取决于哪些路由 1) 更高优先级或 2) 链上更高,仅按规则顺序优先。
对于两个以上的网关,有许多不同的变量在起作用,使得两个网关成为可能。如果两个网关是 2 个不同的面向 WAN 的连接,则一次只允许其中一个处于活动状态。两者同时启动会导致路由冲突。为了克服这个问题,您可以使用动态路由(例如 OSPF)来故障转移到辅助隧道\辅助 ISP 并拆除主隧道。
总之,除非你绝对必须在你的问题中构建它。我建议使用单个 L3 设备来管理仅使用 1 个网关的 VPN 隧道。这种方式是最精简、移动部件最少且配置最简单的方式。