На практике технология туннелирования реализуется с использованием различных уровней модели OSI. Так, протокол L2TP (Layer 2 Transport Protocol) работает на канальном уровне, а протокол IPSec - на сетевом. Следует отметить, что IPSec работает на третьем уровне OSI и он, в отличие от протокола L2TP, используется лишь в IP-сетях. Поэтому он не предназначен для передачи 1ХР или AppleTalk-пакетов. Функционирует технология туннелирования следующим образом. Перед отправкой из локальной сети пакеты шифруются, затем инкапсулируются (переупаковываются) в пакеты, предназначенные для передачи через публичную сеть. После передачи пакетов через публичную сеть на другом конце тун*неля данные извлекаются из пакетов, расшифровываются и затем передаются хостам в локальные сети.
Layer 2 Tunneling Protocol – L2TP является протоколом для VPN, который выполняет функции, похожие на РРТР. Однако, в обязанности L2TP входит создание туннеля и управление туннелем. L2TP на самом деле не шифрует данные. Вместо этого L2TP работает во взаимодействии с протоколом IPSec, который и отвечает за шифрование. L2TP является открытым стандартом, поддерживаемым Microsoft и Cisco, для замены РРТР и протокола Layer 2 Forwarding (L2F) фирмы Cisco.
IPSec – в среде VPN, IPSec отвечает за шифрование данных, посылаемых между VPN-клиентом и сервером, так же как и согласование параметров, связанных с шифрованием, таких как уровень шифрования (56-битное, 128-битное и т.д.) и так далее.
Тоесть l2tp по умолчанию входит в состав Strongswan и используется ?
понял что глупость спорол , вопрос в следующем - нужно объеденить две сети (буду юзать strong swan). Собстввенно в самом руководстве про l2tp ничего не написано , копая инфу по настройке в нете встретил встретил ipsec/l2tp - вопрос для чего заморачиваются с этим ?
Тоесть l2tp по умолчанию входит в состав Strongswan и используется ?
Нет. И не факт, что он Вам понадобится. Я бы даже сказал, что если он Вам точно не нужен, то лучше его не использовать. Все зависит от Вашей конфигурации.
Чтобы иметь нормальные роутимые интерфейсы а не кривые криптомапы туннельного режима, которые труднее дебажить если возникают проблемы. А уже какой роутинг - статика или динамика, дело уже сугубо личное. Если там всего две локалки без дальшейших перспектив и отказоустойчивости, то и статика сойдёт.
# cat /etc/network/interfaces
...
auto eth0
iface eth0 inet static
address 192.168.0.0
netmask 255.255.255.0
auto gre_gw1
iface gre_gw1 inet static
address 10.254.0.1
netmask 255.255.255.252
up ifconfig $IFACE multicast
pre-up iptunnel add $IFACE mode gre local 1.1.1.1 remote 2.2.2.2 ttl 255
pointopoint 10.254.0.2
post-down iptunnel del $IFACE
...
Quagga OSPF
# cat /etc/quagga/ospfd.conf
hostname gw1
password zebra
enable password zebra
interface eth0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 abc123
ip ospf cost 1
interface gre_gw1
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 abc123
ip ospf cost 1
router ospf
log-adjacency-changes
ospf router-id 10.254.0.1
network 10.254.0.0/30 area 0
network 192.168.0.0/24 area 0
area 0 authentication message-digest
log file /var/log/quagga/ospfd.log
На втором роутере симметрично. Если сети за eth0 не имеют других OSPF роутеров, то можно их выделить в отдельные area и объявить их stub. Но это уже вперёд читать про OSPF.
И что? Можно много что сделать, только это юзается редко. Можно и на линуксе сделать ipip туннель, который не умеет мультикаст и прописать ospf нейборов напрямую. Работать будет? Будет.
GET VPN вообще несколько из другой оперы и без MPLS он смысла не имеет особого т.к. с серыми адресами работать не умеет.
ipsecX интерфейс создается только если использовать KLIPS стэк для которого надо патчить ядро, вот это точно велосипед с квадратными колёсами.
Это энтерпрайз лет десять, как минимум. Работает как часы. И в отличии от Crypto API дает исчерпывающую отладочную информацию.
А GRE не велосипед, он используется в DMVPN сетях Cisco с тысячами VPN-хостов вполне себе успешно.
Киско это конечно хорошо, да вот только какое это имеет отношение к сабжу? Если нужно сделать сеть/сеть на линуксе, туннельный ipsec с GRE - именно велосипед, да еще с монолитным шлемом в придачу.