首先,这是一个纯粹假设的学术问题。它不打算真正实施。应该清楚的是,出于实际原因,这只是矫枉过正。
假设我不信任我自己的 LAN 对等体,因为有一个网络集线器(不是交换机)并且任何人都可以监听我的以太网帧,或者因为有一个流氓网络管理员可能试图镜像我的以太网端口,或者因为我担心 WPA KRACK。
是否可以设置 IPSec,使主机和路由器之间的通信加密?也就是说,主机在将通信发送到路由器之前会对其进行加密,然后路由器会解密并定期转发到它应该路由到的任何互联网主机。
我知道可以在两个路由器之间加密流量以形成站点到站点 VPN,也可以在两个主机之间加密流量,或者在主机和远程站点之间加密流量。但在所有这些情况下,都有一个特定的目标 IP 地址或路由器,IPSec 配置可以针对该地址或路由器。
当通过默认网关路由流量时,路由器的 IP 不起作用:使用的是远程主机的地址,以及网关的 MAC 地址。所以我不明白是否可以以这种方式设置 IPSec。
但是我知道可以用另一种方式来实现:为每个客户端使用 /30,并将您的连接视为路由器路由表中虚拟 LAN 地址空间的典型“公路战士”,并设置 IPSec 以使用 /30 IP 作为 IPSec 端点。或者可能使用具有第 2 层加密的 PPTP、L2TP 甚至 PPPoE。
我想知道是否有可能有一个典型的 /24,其中主机可能可以使用机会加密来相互通信,但也可以加密默认网关流量。
答案1
通常,VPN 连接使用“拆分隧道”,即只有特定子网(或多个子网)通过隧道进行路由。
在没有分割隧道的情况下,全部您的流量通过隧道路由,所有流量都经过加密 - 默认网关设置在隧道的远端。您的 VPN 网关可能是路由器,显然您需要被允许通过它访问互联网。
VPN也是提高wifi安全性的常用方法,解决了刚刚发现的WPA2的弱点。