MikroTik GRE在IPSec上
MikroTik GRE在IPSec上
提问于 2016-08-29 03:44:12
我试图在两个IPSec设备之间建立一个GRE在MikroTik隧道上。当我嗅探广域网接口时,一切似乎都正常,我可以清楚地看到GRE数据包,理论上我不应该看到这些包。
我花了几天时间在这件事上,我对失去的东西一无所知。
1.1.1.1是数据中心广域网,2.2.2.2是家庭广域网。
路由器1:
/interface gre
add allow-fast-path=no !keepalive local-address=1.1.1.1 name=\
gre-tunnel-home remote-address=2.2.2.2
/ip ipsec peer
add address=2.2.2.2/32 dh-group=modp8192 enc-algorithm=blowfish \
hash-algorithm=sha512 lifetime=30m local-address=1.1.1.1 \
nat-traversal=no proposal-check=strict secret=secretcode
/ip ipsec policy
add dst-address=2.2.2.2/32 proposal=proposal1 sa-dst-address=2.2.2.2 \
sa-src-address=1.1.1.1 src-address=1.1.1.1/32 tunnel=yes路由器2:
/interface gre
add allow-fast-path=no !keepalive local-address=2.2.2.2 name=\
gre-tunnel-datacenter remote-address=1.1.1.1
/ip ipsec peer
add address=1.1.1.1/32 dh-group=modp8192 enc-algorithm=blowfish \
hash-algorithm=sha512 lifetime=30m local-address=2.2.2.2 \
nat-traversal=no proposal-check=strict secret=secretcode
/ip ipsec policy
add dst-address=1.1.1.1/32 proposal=proposal1 sa-dst-address=\
1.1.1.1 sa-src-address=2.2.2.2 src-address=2.2.2.2/32 \
tunnel=yes回答 1
Server Fault用户
回答已采纳
发布于 2016-08-29 13:16:49
不要在IPSec策略中使用隧道模式。
这就是火炬显示GRE数据包的原因。
由于您正在加密整个GRE连接,因此不使用隧道模式将使它同样安全。通过隧道的数据包将被加密,因此没有人能够看到谁在隧道内与谁通信。
对于嗅探流量的第三方,无论采用何种隧道模式(即: 1.1.1.1通过协议50-ipsec与2.2.2.2通信--用隧道模式隐藏此信息没有任何好处)。
此外,您将有较少的数据包开销。
来自Mikrotik Wiki:
隧道模式下的隧道模式原始IP包封装在一个新的IP包中,从而保证IP有效负载和IP报头的安全。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/799665
复制相关文章
相似问题
腾讯云开发者
