我租用一套专用服务器,他们只有一个单一的互联网接口。 但是,对于很多用例,我希望我的服务器通过专用IPnetworking进行通信。 例如,这将允许我只将内部服务(ldap,puppet master,apt repository,bind)公开给局域网。 理想情况下,我想能够有一个看起来像专用networking(每台机器将有一个新的虚拟接口,本地IP)的覆盖networking,但运行在互联网上。 我已经预先使用了freelan,除此之外,我不想再使用这样一个充满异国情调的堆栈。 我想知道GRE / IPSec是否可能? 从我看到的,我将不得不为每个主机上的每个对等点configuration一个GRE接口,以获得完整的网格。 有一个更简单的解决scheme? 这似乎与同龄人的数量没有太大的关系。
Linux内核(?)可以在与思科端点一起使用的情况下,实现GRE保持活动? 我们已经与另一家公司build立了GRE IPsec隧道。 我们希望有一个主要死亡时应该激活的备份隧道。 因此,他们启用GRE保持活动状态,以检测故障并将路由切换到备用隧道。 我们依赖于他们提出的技术(另一种解决scheme不能使用)。 我们怎样才能完成这样的沟通? 我很惊讶在iproute2和内核中找不到它。 这只是popup来,但它似乎不是可靠的生产使用。 更新: 我们目前的configuration是: Ubuntu服务器14.04 LTS ,内核3.13.0-24-generic racoon和setkey守护进程来pipe理IPsec iproute2在GRE模式下启动隧道 我们必须使用GRE保持活力。 他们告诉我们,除非我们启用保活措施,否则没有办法(好吧,不是技术上,但我想这是他们的政策)build立备用隧道。 问题是,是否可以使用上面提到的服务器configuration?
我正在尝试使用GRE over IPsec隧道来build立VPN连接。 问题在于它涉及某种我不明白的“回送”连接 – 更不用说能够configuration了,唯一的帮助就是configurationCisco路由器。 我的networking由一台运行Debian Linux的路由器和一台主机组成。 我的任务是在IPsec基础设施上创build一个GRE隧道,这个隧道特别用于在我允许configuration的networking和一个远程networking之间路由多播信息stream,对于这个远程networking,我只需要一个包含一些设置信息(IP IPsec的地址和相位信息)。 目前只需要在单个主机和远程networking之间build立一个通信就足够了,但是将来需要把stream量路由到我的networking上的其他机器上。 正如我所说的这个GRE隧道涉及一个“回环”连接,我不知道如何configuration。 从我以前的理解来看,回送连接只是一个本地的伪设备,主要用于testing目的,但在这种情况下,它可能是更具体的,我不知道的。 我已经设法使用racoon和ipsec-tools正确build立IPsec通信,我相信我熟悉创build隧道和使用ip添加地址到接口,因此重点放在GRE步骤上。 最糟糕的部分是远程对等端不响应ping请求,并且由于stream量的encryption特性,所以一般设置的debugging非常困难。 有两对IP地址:一对用于GRE隧道点对点连接,一对用于“环回”部分。 还有一个涉及的IP范围,它应该是VPN内主机的最终IP地址。 我的问题是:如何(或如果)可以完成此设置? 我需要一些特殊的软件或其他守护进程,还是Linux内核处理GRE / IPsec隧道的每个方面? 请告诉我,如果任何额外的信息可能是有用的。 任何帮助是极大的赞赏。
先有一点背景。 我的公司正在Terremark云上租用一些服务器。 由于我们希望将我们的服务器连接到移动运营商的基础设施,以限制我们的最终用户只能访问我们的服务,运营商提出使用“互联网上的GRE”解决scheme,我们几乎已经设定好了,但一件事。 出于某种原因,运营商想要了解路由器的型号和型号,因为对于某些configuration而言,这是非常重要的。 我们当然要求Terremark的支持,但显然需要某种pipe理权限让我们知道我们需要的信息。 而这个授权只是不想出来! 所以,这是真正的问题。 首先,我们是否有可能弄清楚我们的公共IP被分配的路由器的制造/模型是什么? 其次,因为它在云端,所以我认为物理路由器可能会在不知情的情况下随时改变。 GRE对互联网解决scheme有多大影响?
哪个更适合连接两台linux机器?
我试图使用iptables MARK将所有与目标匹配端口22的本地连接redirect到指定的隧道,但出现了问题。 1.1.1.1 my public address 2.2.2.2 tunnel public address 1.2.3.4 my local tunnel address 这里的configuration: # ip rule show 1: from all fwmark 0x14 lookup 20 # ip route show table 20 default via 1.2.3.4 dev tun0 我在iptables上创build了以下规则: iptables -t mangle -A PREROUTING -p tcp –dport 22 -j MARK –set-mark 20 iptables -t mangle […]
所以,我设法使用racoon在两个主机之间通过ESP获得IPSec传输:“本地”主机1.1.1.1和远程2.2.2.2 。 它只适用于ICMP(其他stream量忽略了SA),但这是一个单独的问题。 为了试图让所有的stream量穿越安全的交通工具,我决定build立一个GRE隧道,改变我的setkeyconfiguration spdadd 2.2.2.2 1.1.1.1 any -P in ipsec esp / transport // require; spdadd 1.1.1.1 2.2.2.2 any -P out ipsec esp / transport // require; 至 spdadd 2.2.2.2 1.1.1.1 gre -P in ipsec esp / transport // require; spdadd 1.1.1.1 2.2.2.2 gre -P out ipsec esp / transport // require; 随着flush; spdflush […]
在我的设置中,我通过GRE隧道连接了不同地区的一些EC2实例,通过racoon使用ISAKMP。 这个设置是遗传的,所以如果我用术语摸索,请忍受。 有时我从racoonctl -ll show-sa isakmp (请原谅我的编辑的IP地址)奇怪的输出中Phase2计数是3,但我预计它是1或2: $ sudo racoonctl -ll show-sa isakmp Source Destination Cookies ST SVE Created Phase2 AA.BB.CC.DDD.4500 EE.FF.III.PP.4500 4fcb2a5a2193f76d:29345905dad89534 9 I 10 M 2016-01-28 15:30:35 3 AA.BB.CC.DDD.4500 EE.GG.JJ.QQQ.4500 75aedcf490649ee5:a08192401adc99c4 9 I 10 M 2016-01-28 15:30:35 3 AA.BB.CC.DDD.4500 EE.HH.KKK.RRR.4500 db698ca0fa4b2ef6:95260abcfb7e3578 9 R 10 M 2016-01-28 15:30:35 2 AA.BB.CC.DDD.4500 EE.GG.LLL.SS.4500 20bccfd70bff99ee:ddc8517f524cf146 9 R […]
我有一个networking,其中几个站点路由器通过GRE隧道发送部分stream量到检查设备。 我开始超过检查设备的能力。 我总是可以站在两个检查设备分而治之,但这并不能很好地扩展。 是否有一种负载平衡器可以终止我的GRE隧道,然后将stream量转发到检查设备上(平衡algorithm最好在GRE源IP内部进行散列)> 我已经习惯了负载平衡器,他们持有一个网页服务器的VIP,然后把stream量输出到后面的1 / n个网页服务器。 客户认为他们正在与networking服务器通话,但他们正在与LB交谈。 我正在寻找与GRE隧道相同的概念。 这可能吗? 我无法发布图片,但拓扑结构是: View post on imgur.com 多站点路由器有自己的一对169个地址和隧道。
这是我所做的。 服务器(公共互联网是222.xxx): echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf sysctl -p iptunnel add gre1 mode gre local 222.xxx remote 115.xxx ttl 255 ip add add 192.168.168.1/30 dev gre1 ip link set gre1 up iptables -t nat -A POSTROUTING -s 192.168.168.0/30 -j SNAT –to-source 222.xxx iptables -t nat -A PREROUTING -d 222.xxx -j DNAT –to-destination 192.168.168.2 客户端(公共互联网是115.xxx): iptunnel add […]