Вопрос по IPSEC

Правильно ли я понял

На практике технология туннелирования реализуется с использованием различных уровней модели OSI. Так, протокол L2TP (Layer 2 Transport Protocol) работает на канальном уровне, а протокол IPSec - на сетевом. Следует отметить, что IPSec работает на третьем уровне OSI и он, в отличие от протокола L2TP, используется лишь в IP-сетях. Поэтому он не предназначен для передачи 1ХР или AppleTalk-пакетов. Функционирует технология туннелирования следующим образом. Перед отправкой из локальной сети пакеты шифруются, затем инкапсулируются (переупаковываются) в пакеты, предназначенные для передачи через публичную сеть. После передачи пакетов через публичную сеть на другом конце тун*неля данные извлекаются из пакетов, расшифровываются и затем передаются хостам в локальные сети.

 Layer 2 Tunneling Protocol – L2TP является протоколом для VPN, который выполняет функции, похожие на РРТР. Однако, в обязанности L2TP входит создание туннеля и управление туннелем. L2TP на самом деле не шифрует данные. Вместо этого L2TP работает во взаимодействии с протоколом IPSec, который и отвечает за шифрование. L2TP является открытым стандартом, поддерживаемым Microsoft и Cisco, для замены РРТР и протокола Layer 2 Forwarding (L2F) фирмы Cisco. 

 IPSec – в среде VPN, IPSec отвечает за шифрование данных, посылаемых между VPN-клиентом и сервером, так же как и согласование параметров, связанных с шифрованием, таких как уровень шифрования (56-битное, 128-битное и т.д.) и так далее.

Тоесть l2tp по умолчанию входит в состав Strongswan и используется ?

Из чего это следует?

понял что глупость спорол , вопрос в следующем - нужно объеденить две сети (буду юзать strong swan). Собстввенно в самом руководстве про l2tp ничего не написано , копая инфу по настройке в нете встретил встретил ipsec/l2tp - вопрос для чего заморачиваются с этим ?

Тоесть l2tp по умолчанию входит в состав Strongswan и используется ?

Нет. И не факт, что он Вам понадобится. Я бы даже сказал, что если он Вам точно не нужен, то лучше его не использовать. Все зависит от Вашей конфигурации.

А для чего он вообще применяется то ?

вопрос для чего заморачиваются с этим

Если тебе надо пробросить не-IP-шный трафик или в силу каких-либо причин нужен L2 между соединяемыми сетями.

Спасибо за помощь всем ,пока таких извращений не требуется

Чтобы объеденить две сети с шифрованием лучше всего юзать классический подход:

1. Между роутерами через внешнюю сеть поднимается айписек в транспортном режиме.

2. На роутерах поднимаются туннельные интерфейсы точка-точка, лучше всего GRE, это стандарт.

3. Через эти интерфейсы уже роутится нужный траффик, статикой или каким-нит OSPF.

Если надо могу скинуть пример конфигураций.

буду благодарен за примеры

Ну и нафига #2, если «или» в #3?

Чтобы иметь нормальные роутимые интерфейсы а не кривые криптомапы туннельного режима, которые труднее дебажить если возникают проблемы. А уже какой роутинг - статика или динамика, дело уже сугубо личное. Если там всего две локалки без дальшейших перспектив и отказоустойчивости, то и статика сойдёт.

Если уж «поднимать туннельные интерфейсы», то IPSec.
А от GRE только ненужный оверхед.

Чтобы иметь нормальные роутимые интерфейсы

Чем Вас не устраивает ифейс ipsecX? Неужели Ваш велосипед лучше? Или мы говорим о разных вещах?

Туннельный режим IPSEC работает безо всяких интерфейсов инкапсулируя пакеты из определенной подсети в ESP напрямую минуя всякий роутинг.

ipsecX интерфейс создается только если использовать KLIPS стэк для которого надо патчить ядро, вот это точно велосипед с квадратными колёсами.

А GRE не велосипед, он используется в DMVPN сетях Cisco с тысячами VPN-хостов вполне себе успешно.

А GRE не велосипед, он используется в DMVPN сетях Cisco
с тысячами VPN-хостов вполне себе успешно.

Раз уж речь зашла про Cisco, то в средней свежести IOS можно сделать
int tu0
tunnel mode ipsec ipv4
без GRE.

Да и в GET VPN никакого GRE нету.

Strongswan:

# cat /etc/ipsec.conf
config setup
    plutostart=no

conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    keyingtries=3
    authby=secret
    mobike=no
    keyexchange=ikev2
    auth=esp
    compress=no
    ike=aes256gcm128-sha2_512-modp4096!
    esp=aes128gcm64-modp4096!
    type=transport
    auto=start

conn gw1
    left=1.1.1.1
    right=2.2.2.2

# cat /etc/ipsec.secrets
2.2.2.2 : PSK "asdfjkasdfjkl;asdfjkl;asdjfkl;asdjfkl;asdf"

Сеть (для дебиана):

# cat /etc/network/interfaces
...
auto eth0
iface eth0 inet static
    address 192.168.0.0
    netmask 255.255.255.0

auto gre_gw1
iface gre_gw1 inet static
    address 10.254.0.1
    netmask 255.255.255.252
    up ifconfig $IFACE multicast
    pre-up iptunnel add $IFACE mode gre local 1.1.1.1 remote 2.2.2.2 ttl 255
    pointopoint 10.254.0.2
    post-down iptunnel del $IFACE
...

Quagga OSPF

# cat /etc/quagga/ospfd.conf
hostname gw1
password zebra
enable password zebra

interface eth0
    ip ospf authentication message-digest
    ip ospf message-digest-key 1 md5 abc123
    ip ospf cost 1

interface gre_gw1
    ip ospf authentication message-digest
    ip ospf message-digest-key 1 md5 abc123
    ip ospf cost 1

router ospf
    log-adjacency-changes
    ospf router-id 10.254.0.1
    network 10.254.0.0/30 area 0
    network 192.168.0.0/24 area 0
    area 0 authentication message-digest

log file /var/log/quagga/ospfd.log

И что? Можно много что сделать, только это юзается редко. Можно и на линуксе сделать ipip туннель, который не умеет мультикаст и прописать ospf нейборов напрямую. Работать будет? Будет.

GET VPN вообще несколько из другой оперы и без MPLS он смысла не имеет особого т.к. с серыми адресами работать не умеет.

«Любезнейший! Вы просто сумасшедший!» (с)

Накой приплетать ненужный GRE?

«GET VPN без MPLS не имеет смысла особого» — это в цитатник.

ipsecX интерфейс создается только если использовать KLIPS стэк для которого надо патчить ядро, вот это точно велосипед с квадратными колёсами.

Это энтерпрайз лет десять, как минимум. Работает как часы. И в отличии от Crypto API дает исчерпывающую отладочную информацию.

А GRE не велосипед, он используется в DMVPN сетях Cisco с тысячами VPN-хостов вполне себе успешно.

Киско это конечно хорошо, да вот только какое это имеет отношение к сабжу? Если нужно сделать сеть/сеть на линуксе, туннельный ipsec с GRE - именно велосипед, да еще с монолитным шлемом в придачу.