我正在探索使用 ipsec 传输模式在 2 个 LAN 和多个远程用户之间提供安全的 ipv6 访问。我喜欢平面 ipv6 全局单播地址空间与 ipv6 的组合,因为您可以省去隧道和 vpn 所需的所有路由子网。我不喜欢的是 ipsec 传输模式是端到端的,这会迫使我在内部 lan 上的服务器上设置 ipsec 策略。有没有办法在防火墙处终止 ipsec 传输,然后让明文数据包继续进入我的内部 LAN?
作为参考,我目前使用 OpenVPN 进行 ipv4 互连,并且厌倦了处理所有额外的路由。我以前没有使用过 ipsec。
答案1
传输模式 IPsec 在设计上是端到端的;这是唯一可以保证安全的方法。为什么你不想将(最小的)加密开销分布在所有服务器上,而不是在网关上?
您可以设置策略,以便仅加密内部到外部的通信,而不加密内部到内部的通信。
如果你需要检查由于某种原因,如果使用 IDS/IPS 进行跨站点流量,恐怕您会被困在 IPsec 隧道中。