Displaying items by tag: GRE

Site-to-Site IPsec VPNs

Site-to-Site-VPNs werden verwendet, um Netzwerke über ein anderes, nicht vertrauenswürdiges Netzwerk wie das Internet zu verbinden. In einem Site-to-Site-VPN senden und empfangen die End-Hosts normalen unverschlüsselten TCP/IP-Verkehr über ein VPN-Endgerät. Das VPN-Abschlussgerät wird normalerweise als VPN-Gateway bezeichnet. Ein VPN-Gateway-Gerät könnte ein Router oder eine Firewall sein.

Das VPN-Gateway kapselt und verschlüsselt den ausgehenden Datenverkehr für den gesamten Verkehr von einem bestimmten Standort. Anschließend sendet es den Datenverkehr durch einen VPN-Tunnel über das Internet zu einem VPN-Gateway am Zielstandort. Beim Empfang entfernt das empfangende VPN-Gateway die Header, entschlüsselt den Inhalt und leitet das Paket an den Zielhost innerhalb seines privaten Netzwerks weiter.

Site-to-Site-VPNs werden in der Regel mit IP-Sicherheit (IPsec) erstellt und gesichert.

GRE over IPsec

Generic Routing Encapsulation (GRE) ist ein nicht sicheres Site-to-Site VPN-Tunneling-Protokoll. Es kann verschiedene Netzwerkschichtprotokolle kapseln. Es unterstützt auch Multicast- und Broadcast-Verkehr, was erforderlich sein kann, wenn die Organisation Routing-Protokolle für den Betrieb über ein VPN benötigt. GRE unterstützt jedoch standardmäßig keine Verschlüsselung und bietet daher keinen sicheren VPN-Tunnel.

Ein Standard-IPsec-VPN (Nicht-GRE) kann nur sichere Tunnel für Unicast-Verkehr erstellen. Daher werden Routing-Protokolle keine Routing-Informationen über ein IPsec-VPN austauschen.

Um dieses Problem zu lösen, können Sie den Verkehr des Routing-Protokolls mit einem GRE-Paket einkapseln und dann das GRE-Paket in ein IPsec-Paket einkapseln, um es sicher an das Ziel-VPN-Gateway weiterzuleiten.

Die zur Beschreibung der Einkapselung von GRE über einen IPsec-Tunnel verwendeten Begriffe sind Passagierprotokoll, Trägerprotokoll und Transportprotokoll.

• Passagierprotokoll - Dies ist das ursprüngliche Paket, das von GRE gekapselt werden soll. Es könnte ein IPv4- oder IPv6-Paket, ein Routing-Update und mehr sein.
• Trägerprotokoll - GRE ist das Trägerprotokoll, das das ursprüngliche Passagierpaket einkapselt.
• Transportprotokoll - Dies ist das Protokoll, das tatsächlich zur Weiterleitung des Pakets verwendet wird. Dies kann IPv4 oder IPv6 sein.

Beispielsweise möchten eine Topologie, eine Zweigstelle und ein Hauptquartier OSPF-Routing-Informationen über ein IPsec-VPN austauschen. IPsec unterstützt jedoch keinen Multicast-Verkehr. Daher wird GRE über IPsec verwendet, um den Routing-Protokollverkehr über das IPsec-VPN zu unterstützen. Konkret würden die OSPF-Pakete (d.h. das Passagierprotokoll) durch GRE (d.h. das Trägerprotokoll) eingekapselt und anschließend in einem IPsec-VPN-Tunnel eingekapselt werden.

Eine Topologie, ein Branch-Router und ein HQ-Router tauschen daher OSPF-Routing-Informationen über ein IPsec-VPN aus. Ein Switch ist mit dem Branch-Router verbunden und derBranch-Router ist über das Internet über einen IPsec-VPN-GRE-Tunnel mit dem HQ-Router verbunden. Der HQ-Router ist mit einem Switch und der Switch ist mit einem E-Mail-Server verbunden.

Um das ganze Geschehen und die Komplexität dieses Vorgangs zu erfassen, empfiehlt es sich Wireshark zu benutzen, um den Netzwerkverkehr nachzuverfolgen und zu verstehen. 

Dynamische Mehrpunkt-VPNs

Site-to-Site-IPsec-VPNs und GRE über IPsec sind ausreichend, wenn es nur wenige Standorte gibt, die sicher miteinander verbunden werden können. Sie sind jedoch nicht ausreichend, wenn das Unternehmen viele weitere Standorte hinzufügt. Dies liegt daran, dass jeder Standort statische Konfigurationen zu allen anderen Standorten oder zu einem zentralen Standort erfordern würde.

Dynamic Multipoint VPN (DMVPN) ist eine Softwarelösung von Cisco für den Aufbau mehrerer VPNs auf einfache, dynamische und skalierbare Weise. Wie andere VPN-Typen basiert DMVPN auf IPsec, um einen sicheren Transport über öffentliche Netzwerke, wie z. B. das Internet, zu gewährleisten.

DMVPN vereinfacht die Konfiguration des VPN-Tunnels und bietet eine flexible Möglichkeit, einen zentralen Standort mit Zweigstellen zu verbinden. Es verwendet eine Hub-and-Spoke-Konfiguration zum Aufbau einer vollständigen Mesh-Topologie. Spoke-Standorte bauen sichere VPN-Tunnel mit dem Hub-Standort auf.