ブリッジモードでのサイト間IPsecの設定
ブリッジモードでサイト間IPsecを設定したいと思います。つまり、IPsecゲートウェイを使用するために各サイトのホストを変更する必要はありませんが、IPsecゲートウェイは疑似配線として機能します。
これを行う私の計画は次のとおりです。
- 各gwでホスト間IPsecを設定します
- 各gwでL2TP(IPsec経由)を設定します
- 各gwでeth0とlt2p-ethをブリッジします
その後、任意のgwのeth0に到達するすべてのレイヤー2パケットは、他のゲートウェイに自動的に安全に(L2TP)トンネリング(IPsec)される必要があります。
これは正しいです?これは推奨されるアプローチですか?
また:2つ以上のゲートウェイに対してこれを行うにはどうすればよいですか?各ゲートウェイには、IPsec SA and他のすべてのgwとのL2TPトンネルの両方が必要ですか?理想的には、gwが明示的に必要としないようにしたいです他のすべての個々のgwの知識がありますが、信頼できる、または標準的な方法を見つけることができません。
これは可能性ありですが、お勧めできません。実際、この構成は絶対に使用しないでください。説明させてください
レイヤ2ブリッジモードは、ルーティングを決定しないことを目的としています。IPSECVPNでは、VPNを介してパケットを移動するためにルーティングが必要です。実際、ホストマシンは、自身のゲートウェイを超えて何が渡されるかを知ることはありません。すべてのトラフィックをゲートウェイに送信し(同じサブネット内にある場合を除く)、ゲートウェイはホストのすべてのルーティングを実行します。ホストはその時点からこれ以上何も認識しません。レイヤ2ルーティングはMACアドレスを使用して行われます。レイヤ2ルーティングを実行するには、すべてのMACアドレスを知って別の方向に移動する必要があります。
ネットワーク構成では、ホストはVPNトンネルを通過していることを認識せず、ホストコンピューターの知識がなくてもトンネリングが「自動的に」実行されます。
トピックに戻ります。 L2TPとIPSECは冗長になります。デバイスがどちらか一方を選択するため、ルーティングの競合が発生するため、両方を実行する必要はありません。 VPNトンネルを介してL2TPを強制することはできません。両方のトンネルの場合、ルーターはどちらを通過するかを決定する必要があります。これはおそらく、どのルートが1)優先度が高いか、2)チェーン上で高いかによって決定され、ルールの順序によってのみ優先されます。
3つ以上のゲートウェイの場合、2つのゲートウェイを可能にするさまざまな変数が関係しています。 2つのゲートウェイが2つの異なるWAN向きの接続である場合、一度にアクティブにできるのは1つだけです。両方が稼働していると、ルートの競合が発生します。これを克服するには、次のような動的ルーティングを使用できます。 OSPFとして、セカンダリトンネル\セカンダリISPにフェイルオーバーし、プライマリを破棄します。
要約すると、あなたが絶対にあなたの質問でそれを構築する必要がない限り。 1つのゲートウェイだけでVPNトンネルを管理する単一のL3デバイスをお勧めします。この方法は、最も合理化され、可動部品の量が最も少なく、可能な限り最も単純な構成です。