尽管我没有尝试连接,但我的日志中出现了事件 ID 20209。证书仍在我手中,其他人无权访问。仅允许机器证书。但事件查看器显示:
VPN 服务器与 VPN 客户端 92.63.194.91 之间的连接已建立,但 VPN 连接无法完成。最常见的原因是 VPN 服务器与 VPN 客户端之间的防火墙或路由器未配置为允许通用路由封装 (GRE) 数据包(协议 47)。
这是值得关心的事情吗?
答案1
您已接入互联网并受到攻击。然而,攻击可能不是针对您的 VPN 服务器,尽管您收到的错误可能来自其防火墙。
这 通用路由封装 (GRE) 维基百科将其定义为:
通用路由封装 (GRE) 是由 Cisco Systems 开发的一种隧道协议,它可以将多种网络层协议封装在 Internet 协议网络上的虚拟点对点链路或点对多点链路内。
这是一种将来自所有其他协议的消息传递给接收者的通用方法。这种攻击通常针对路由器,目的是在受害路由器和攻击者之间建立隧道,从而允许嗅探数据等。直到今天,GRE 作为攻击媒介的所有可能用途仍未为人所知,因为它可以携带来自其他协议(而不仅仅是 TCP/IP)的多种类型的有效载荷。GRE 作为攻击有效载荷在 Mirai 僵尸网络中流行起来,但在此之前相对鲜为人知。
但要回答这个问题,虽然您的 VPN 服务器可能没有受到攻击,但 IKEv2 被认为是目前最快、最安全的协议之一。安全性主要取决于登录密码的强度。
您可以在以下参考资料中找到有关 GRE 攻击的一些深入讨论:
第一个链接提供了一些缓解 GRE 攻击的建议,尽管可能与 CISCO 路由器更相关。
如果您不是安全专家或没有安全专家的服务,您可以做的是确保您的路由器固件已更新。还要检查路由器的所有设置,以禁用所有非绝对必要的设置,如果可以的话,包括 GRE。定期重启路由器也是一个好主意。
由于您在互联网上的 IP 段受到攻击,您应该对 VPN 服务器的防火墙或任何其他暴露在以太网中的设备执行同样的操作。