IPIP, IPSec между двумя сетями через инет ("для чайников")

Обсуждение ПО и его настройки
Chai
Сообщения: 63
Зарегистрирован: 25 авг 2017, 08:13

IPIP over IPSec, GRE over IPSec.
Эти туннели настраиваются легко и непринужденно. Насколько я понимаю, туннель IPSec внутри IPIP или GRE при указании ключа образуется автоматически. Только для фазы 1 нужно указать условия, фаза два сформируется сама, правильно?

Но мне все равно непонятно относительно безопасности. Да, перехватить трафик между нашими пиррами нельзя, он защищен. А если другой, чужой, пирр расчухав, что тут есть GRE, но не зная ключ, но подобрав подсеть, захочет подключиться к нашим пиррам и попасть в наши внутренние сети, сможет? Ведь тоннель GRE функционирует, и для подключения по собственно GRE (или IPIP) не требуется вводить никаких паролей, сертификатов и ключей!


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

Chai писал(а): 01 авг 2019, 11:27 IPIP over IPSec, GRE over IPSec.
Эти туннели настраиваются легко и непринужденно. Насколько я понимаю, туннель IPSec внутри IPIP или GRE при указании ключа образуется автоматически. Только для фазы 1 нужно указать условия, фаза два сформируется сама, правильно?

Но мне все равно непонятно относительно безопасности. Да, перехватить трафик между нашими пиррами нельзя, он защищен. А если другой, чужой, пирр расчухав, что тут есть GRE, но не зная ключ, но подобрав подсеть, захочет подключиться к нашим пиррам и попасть в наши внутренние сети, сможет? Ведь тоннель GRE функционирует, и для подключения по собственно GRE (или IPIP) не требуется вводить никаких паролей, сертификатов и ключей!
Сначала устанавливается зашифрованное соединение, а уже потом, внутри него, поднимается туннель.
Поэтому, чтобы "расчухать", что идет внутри шифрованного соединения, его нужно расшифровать.


Chai
Сообщения: 63
Зарегистрирован: 25 авг 2017, 08:13

Так ведь вначале устанавливается gre? Он же растет от публичного к публичному адресу, а не какому-то виртуальному внутри шифрованного тоннеля! Разве не так?
Есть gre over ipsec и ipsec over gre. Но в нашем случае - первый.


Ответить