首先,这是一个纯粹假设的学术问题。 这不是为了一个真正的实现。 应该清楚的是,出于实际的原因,这只是矫枉过正。
假设我不信任自己的LAN对等体,因为有一个networking集线器(不是交换机),任何人都可以听我的以太网帧,或者有一个stream氓networkingpipe理员可能试图镜像我的以太网端口,或者因为我害怕WPA KRACK。
是否有可能以主机和路由器之间的stream量被encryption的方式来设置IPSec? 也就是说,主机会在将stream量发送给路由器之前对其进行encryption,然后路由器将对其进行解密,并定期将其转发给任何应该路由到的互联网主机。
我知道stream量可以在两台路由器之间进行encryption,形成一个站点到站点的VPN,或者在两台主机之间,或者在一台主机和一个远程站点之间。 但在所有这些情况下,都有一个特定的目标IP地址或IPSecconfiguration可以作为目标的路由器。
在通过默认网关路由stream量时,路由器的IP不起任何作用:远程主机的地址与网关的MAC地址一起使用。 所以我不明白是否有可能以这种方式设置IPSec。
但是,我知道有可能以另一种方式进行:对每个客户端使用一个/ 30,并将您的连接视为路由器路由表中虚拟LAN地址空间的典型“道路战士”,并将IPSec设置为为IPSec端点使用/ 30 IP。 或者可能使用PPTP,L2TP甚至PPPoE进行二层encryption。
我想知道,如果有可能有一个典型的/ 24主机可以使用Opportunistic Encryption互相交谈,但也有默认的网关stream量encryption。
通常,VPN连接使用“拆分隧道”,即。 只有特定的子网(或几个)通过隧道路由。
如果没有拆分隧道, 所有stream量都将通过隧道进行路由,并且所有stream量都被encryption – 默认网关设置为隧道的远端。 你的VPN网关很可能是一个路由器,显然你需要通过它来访问Internet。
VPN也是增加Wi-Fi安全性的常用方法,并解决了刚刚发现的WPA2弱点。