我想以桥接模式设置站点间IPsec:即每个站点中的主机不需要修改为使用IPsec网关,但IPsec网关充当伪线。
我的计划是:
之后,到达任何gw的eth0的任何第二层数据包应自动(L2TP)隧道(IPsec)到其他网关。
它是否正确? 这是推荐的方法吗?
另外:如何为2个网关做这个? 每个网关是否需要一个IPsec SA 和一个L2TP隧道与其他每个gw? 理想情况下,我想这样做是为了让gw不需要明确的了解其他每个gw,但是我找不到一个可靠的甚至是标准的方法来做到这一点。
这是我个人的经验,这是可能的,但不build议。 事实上,我想告诉你,你永远不应该使用这种configuration。 让我解释
第2层网桥模式旨在不作任何路由决策,IPSEC VPN需要路由才能通过VPN移动数据包。 事实上,主机永远不知道自己的网关之外传递了什么。 它将所有stream量发送到网关(除非在同一个子网中)并且网关执行主机的所有路由。 主持人从来没有意识到这一点。 第2层路由使用MAC地址完成。 要执行第2层路由,您必须知道所有的MAC地址才能将其移动到另一个方向。
在networkingconfiguration中,主机不知道他们正在经过VPN隧道,并且在不知道主计算机的情况下“自动”执行隧道。
回到主题。 L2TP和IPSEC将是多余的。 您不希望执行这两个,因为您的设备将要select一个或其他,导致路由冲突。 您将无法通过VPN隧道强制L2TP。 当两个隧道你的路由器将不得不作出决定哪个去。 这将根据哪些路线1)更高的优先级来确定,或者2)在链上更高,仅优先于规则顺序。
对于2个以上的网关,有许多不同的variables可以使两个网关成为可能。 如果两个网关是两个不同的面向WAN的连接,则只允许一个网关同时处于活动状态。 两者都将会导致路线冲突。 为了解决这个问题,你可以使用OSPF等dynamic路由来故障切换到辅助隧道\辅助ISP,并拆除主隧道。
总之,除非你必须在你的问题上build立它的方式。 我会推荐一个L3设备来pipe理你的VPN隧道只有一个网关。 这种方式是最简化的,最less量的移动部件,以及最简单的configuration。