我有一台 Windows Server 2008,它有一个配置了公共 IP 地址的网络接口。我的业务合作伙伴有一个私有网络。我需要从我的服务器访问他的私有网络上的所有设备,并且这些设备必须能够访问我的服务器。
我的业务合作伙伴针对这些要求有一个标准解决方案。他们将为我的服务器设置一个 IPSec + GRE 隧道。他们告诉我,我需要一个额外的公共 IP 地址才能实现这一点。如果确实有必要,那没问题,我可以获得一个额外的公共 IP 地址,尽管它将被分配给相同的物理网络接口。
我假设我的服务器上既有公共 IP 地址,也有来自隧道的私有 IP 地址(与私有网络内的设备可见的 IP 地址相同)。
我还有什么选择?
- 是否可以在 Windows Server 2008 上配置此隧道?可以仅使用 Windows 工具完成此操作吗,还是需要额外的免费/商业 VPN 软件?
- 如果无法直接在 Windows 上完成此操作,我是否可以设置一个运行 Linux 的额外虚拟机来处理 IPSec + GRE 任务?如何操作?
- 如果无法在虚拟 Linux 机器上完成,我是否必须购买并设置 Cisco 路由器来处理 IPSec + GRE 任务?
感谢您的意见。我正在关注这个问题,以澄清任何问题或疑问。
答案1
答案2
在经历了数周与隧道本身无关的问题后,我的管理员将隧道配置为在运行 Openswan 的单独 Linux 机器上结束。解密和解包后的流量随后被路由到我们的 Windows 机器并返回。
与另一端的思科路由器兼容没有问题。
因此,我们成功选择了选项 2,而不需要购买物理思科路由器。
答案3
Cisco 的 IPSec 实现与 Cisco 之外的任何其他产品都不兼容。我知道 IPSec 是一种标准,但 Cisco 有一个特定的实现,可以阻止您连接除其设备之外的任何其他设备。
是否可以在 Windows Server 2008 上配置此隧道?可以仅使用 Windows 工具完成此操作吗,还是需要额外的免费/商业 VPN 软件?
是的,您需要 Cisco VPN 客户端。它对 IPSec 是免费的,而且运行良好。但要小心,因为它是为桌面客户端设计的。它可能有一些烦人的功能,例如短暂超时。
如果无法在虚拟 Linux 机器上完成,我是否必须购买并设置 Cisco 路由器来处理 IPSec + GRE 任务?
您可以随时购买支持 IPSec 的 Cisco 盒子。请注意,您可能需要特定的许可才能使用 IPSec。这将是迄今为止最可靠和最简单的选择。另一方面,它不是免费的解决方案。一个小思科 ASA 5505就可以了。
另外,您不需要额外的公共 IP 地址。使用您用于其他所有操作的相同 IP 即可。
答案4
Openswan 或 Libreswan 到 Cisco 运行良好。我将其用作集线器-辐射器布置,Cisco 是集线器,Linux 和 Digi 路由器是辐射器。我在 IPsec 中使用 GRE 隧道,效果很好。
在 Cisco 端有一些提示:您不需要 ACL 来定义集线器上的有趣流量,您需要一个路由图来阻止隧道中的流量被 NAT,预共享密钥工作正常,目的地由 GRE 隧道路由标识。