我正在探索使用ipsec传输模式提供2个局域网和几个远程用户之间的安全ipv6访问。 我喜欢与ipv6结合使用的平面ipv6全球单播地址空间的组合,因为您可以取消隧道和vpns所需的所有路由子网。 我不喜欢的是,ipsec传输模式是端到端的,这将迫使我把ipsec策略放在内部局域网上的服务器上。 有没有办法在防火墙上终止ipsec传输,然后让明文数据包进入我的内部局域网?
作为参考,我目前使用OpenVPN的ipv4互连,并厌倦了处理所有额外的路由。 我以前没有用过ipsec。
传输模式IPsec是端到端的devise; 这是唯一可以保证安全的方法。 为什么你不想在所有服务器上而不是在网关上分配(最小的)encryption开销?
您可以设置策略,使得只有内部到外部的通信是encryption的,而内部到内部的通信则不是。
如果因为某种原因,比如说IDS / IPS,你需要检查跨站点的stream量,恐怕你会陷入IPsec隧道。