V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
lsylsy2
V2EX  ›  问与答

有人懂 IPSec 的么?关于 IP 分配的一些问题请教

  •  
  •   lsylsy2 · 2014-07-23 00:21:28 +08:00 · 4017 次点击
    这是一个创建于 3804 天前的主题,其中的信息可能已经有所发展或是发生改变。
    IPSec里面(不是L2TP),两端内网都是用的CIDR分配了一个网段,请问网络结构大概是个什么样子?查了资料不太理解。
    举出三个例子,希望能帮忙解释一下IP分配以及路由表的问题:
    1、普通的客户端连VPN(跟OpenVPN的route模式一样)
    2、用户-openwrt-Linode服务器,openwrt和Linode之间建立IPsec链接;
    OpenVPN的情况下,Linode看到的所有链接都是来自于openwrt分配到的IP,IPSec呢?
    3、服务器A-服务器B,服务器A类似路由器,但是想把某一个接口(eth1)上的所有用户都转发到服务器B?
    第 1 条附言  ·  2014-07-23 01:08:16 +08:00
    还有一点:IPSec的transport模式,是不是可以实现两台机器之间看起来网络没有变化,但是实际它们之间传输的数据都被加密了?比如反代HTTP,是不是可以不用改Nginx之类的配置?
    6 条回复    2014-07-23 10:37:17 +08:00
    hdbean
        1
    hdbean  
       2014-07-23 00:51:06 +08:00
    苦逼的网络工程师
    tywtyw2002
        2
    tywtyw2002  
       2014-07-23 01:39:30 +08:00 via iPhone   ❤️ 1
    gre over ipsec
    xseal
        3
    xseal  
       2014-07-23 02:13:07 +08:00   ❤️ 1
    1
    Internet---[(1.1.1.1)server(2.2.2.1)]-----[client(2.2.2.2)],传输点=加密点
    2
    [(loopback 4.4.4.0/24)server(1.1.1.1)]-----[(2.2.2.1)router]-----[client(3.3.3.0/24)],传输点不等于加密点
    3
    做策略路由
    觉得没表达清楚,还是推荐看 《Cisco IPSec VPN实战指南》
    tjmao
        4
    tjmao  
       2014-07-23 02:33:00 +08:00 via iPhone   ❤️ 1
    首先你需要明确,你在配置的,是站点到站点、或者远程访问、还是端到端。
    L2TP over IPSec属于端到端IPSec。
    Windows网络连接设置里创建的IKEv2连接属于远程访问IPSec。
    跨国公司美国总部和北京办事处之间创建的是站点到站点VPN。

    明确各方的角色后,IP由谁、怎么分配的事情就相当清楚了。
    rrfeng
        5
    rrfeng  
       2014-07-23 09:19:28 +08:00   ❤️ 1
    networkA(route netB gateway 1.1.1.1)-------> 1.1.1.1 [ ipsec设备A] 10.10.10.1----------internet---------20.20.20.1 [ipsec设备B] 2.2.2.2 <------------ networkB(route netA gateway 2.2.2.2
    这是隧道模式

    传输模式没有隧道层,所以不能穿越 internet,只能在局域网里,或者 ipsec over other proto
    lsylsy2
        6
    lsylsy2  
    OP
       2014-07-23 10:37:17 +08:00
    @tywtyw2002
    @xseal
    @tjmao
    @rrfeng
    感谢已发送。看来我得把ipsec基础知识研究研究
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2587 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 11:15 · PVG 19:15 · LAX 03:15 · JFK 06:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.