VPN - VPN vs GRE

VPN - VPN vs GRE

Ветеран

Сообщения: 1384
Благодарности: 177

Здравствуйте.

Для подключения филиалов к основному офису использую VPN сервер, настроенный на базе Win2003 Server. Этот сервер стоит за шлюзом под Ubuntu. Всё настроено и работает. Пришлось настроить маршрутизацию на шлюзе и на самом VPN сервере. Возникают некоторые сложности с автоматизированным прописыванием статических маршрутов при создании VPN подключения. Для организации соединения между парой филиалов приходится поднимать VPN между ними, а это настройка сервера и т.д. или гонять трафик через главный офис что тоже не очень приятно. Нужно инициализировать соединение при обрыве скриптом или руками.

В Ubuntu можно просто создать GRE тунель (краткое описание тут). По сути это добавление заголовка к пакету и пересылка его на адрес получателя. Та самая основа на которой построен VPN. Нет никаких заморочек с маршрутизацией - всё настраивается на шлюзах. Можно сделать тунели между филлиалами за пару минут. Но здесь отсутствует шифрование как в VPN.

Вопрос собственно в том стоит ли отказываться от VPN и переходить на GRE тунель? Насколько это небезопасно? Может есть вариант зашифровать трафик на интерфейсе и передать его??? Вообще какие будут соображения на эту тему?

Схема сети

-------
Сообщение оказалось полезным? Кнопка Полезное сообщение располагается чуть ниже.

Отправлено: 11:36, 12-01-2012

QRS

Ветеран

Сообщения: 630
Благодарности: 111

Профиль | Отправить PM | Цитировать

Tonny_Bennet, разница между имеющимся у Вас VPN и GRE+шифрование в том, что на GRE могут работать протоколы маршрутизации.
Для защиту GRE используется IPSec и - это классика.

Если Вы достаточно квалифицированы для настройки Linux, то настройте GRE+IPSec (full-mesh - каждый с каждым) и внутри запустите протокол маршрутизации (подойдет для начала RIP v2).

Отправлено: 23:18, 12-01-2012 | #2