Configurando o IPsec de site a site no modo em ponte

2

Eu gostaria de configurar o IPsec de site para site no modo em ponte: ou seja, onde os hosts em cada site não precisem ser modificados para usar o gateway IPsec, mas o gateway IPsec atua como um pseudowire .

Meu plano para fazer isso é:

  1. Configurar IPsec do host para host em cada gw
  2. Configure o L2TP (por IPsec) a cada gw
  3. Bridge the eth0 e lt2p-eth em cada gw

Depois disso, qualquer pacote da Camada 2 que atinja a eth0 de qualquer gw deve ser automaticamente encapsulado (L2TP) com segurança (IPsec) para os outros gateways.

Isso está correto? Essa é a abordagem recomendada?

Além disso: como faço isso para > 2 gateways? Cada gateway precisa de um IPsec SA e um túnel L2TP com todos os outros gw? Idealmente, eu gostaria de fazer com que os gws não precisem de conhecimento explícito de todos os outros gw individuais, mas não consigo encontrar uma maneira confiável ou mesmo padrão de fazê-lo.

    
por SRobertJames 15.06.2015 / 15:43

1 resposta

0

É minha experiência pessoal que isso é possível , mas não recomendado. Na verdade, quero comunicar a você que você nunca deve usar essa configuração. Deixe-me explicar

O modo de ponte de camada 2 destina-se a não tomar decisões de roteamento; as VPNs IPSEC exigem roteamento para mover os pacotes pela VPN. Na verdade, uma máquina host nunca sabe o que é passado além de seu próprio gateway. Ele envia todo o tráfego para o gateway (a menos que esteja na mesma sub-rede) e o gateway executa todo o roteamento para o host. O host nunca está ciente de mais nada a partir desse ponto. O roteamento da camada 2 é feito com endereços MAC. Para realizar o roteamento da camada 2, você deve conhecer todos os endereços MAC para movê-los em outra direção.

Em uma configuração de rede, os hosts não sabem que estão passando pelo túnel VPN e o tunelamento é executado "" automaticamente "" sem o conhecimento do computador host.

Voltando ao assunto. L2TP e IPSEC seriam redundantes. Você não quer executar ambos, pois o dispositivo desejará escolher um ou outro, causando um conflito de roteamento. Você não seria capaz de forçar o L2TP pelo túnel VPN. Quando ambos os túneis, o seu roteador teria que tomar uma decisão sobre o que passar. Isso provavelmente seria determinado por quais rotas eram 1) prioridade mais alta ou 2) maior na cadeia, tendo precedência apenas por ordem de regra.

Por mais de dois gateways, existem muitas variáveis diferentes em jogo que tornariam possíveis dois gateways. Se os dois gateways forem 2 conexões de WAN diferentes, então somente um deles poderá estar ativo ao mesmo tempo. Ambos estando acima causariam um conflito de rota. Para superar isso, você pode usar o roteamento dinâmico, como o OSPF, para fazer failover no ISP do secundário \ do túnel secundário e derrubar o primário.

Em resumo, a menos que você tenha absolutamente que construir sua maneira na sua pergunta. Eu recomendaria um único dispositivo L3 que gerencia seu túnel VPN com apenas um gateway. Desta forma, a menor quantidade de partes móveis é simplificada e a configuração mais simples é possível.

    
por 16.06.2015 / 19:19