How to setup an IPSec / GRE tunnel on Windows Server 2008
I have a Windows Server 2008 that has a single network interface configured with a public IP address. My business partner has a private network. From my server, I need to access all the devices on his private network, and those devices must be able to access my server.
My business partner has a standard solution for these requirements. They will setup an IPSec + GRE tunnel to my server. They told me, that I will need an additional public IP address for this to work. If it really is necessary, there is no problem, I can get an additional public IP address, although it will be assigned to the same physical network interface.
Я предполагаю, что на моем сервере у меня будут как общедоступные IP-адреса, так и частный IP-адрес из туннеля (тот же, что виден для устройств внутри частной сети).
Какие у меня есть альтернативы?
- Можно ли настроить этот туннель на моем Windows Server 2008? Это можно сделать, используя только инструменты Windows, или мне нужно дополнительное бесплатное / коммерческое программное обеспечение VPN?
- Если это невозможно сделать непосредственно в Windows, могу ли я установить дополнительную виртуальную машину под управлением Linux, которая будет обрабатывать задачи IPSec + GRE? Как это сделать?
- Если это невозможно сделать на виртуальной Linux-машине, придется ли мне покупать и настраивать маршрутизатор Cisco для обработки задач IPSec + GRE?
Спасибо за ваше мнение. Я наблюдаю за этим вопросом, чтобы уточнить любые вопросы или вопросы.
4 ответа
После нескольких недель проблем, не связанных с самим туннелем, мой администратор настроил туннель так, чтобы он заканчивался на отдельной Linux-системе с Openswan. Затем расшифрованный и распакованный трафик направляется на наш Windows-бокс и обратно.
Нет проблем с совместимостью с маршрутизатором Cisco на другом конце.
Таким образом, мы успешно выбрали вариант №2 без необходимости покупать физический маршрутизатор Cisco.
Вы не указали конец туннеля вашего партнера (если я не пропустил его). Я провел много времени в туннеле между Windows Server 2003 и маршрутизатором Cisco. Предполагается, что это возможно, но мне это не удалось, и я не единственный. Вы можете прочитать о здесь и здесь.
Поэтому, если они используют маршрутизатор Cisco, я рекомендую вам пойти и купить его, чтобы сэкономить время и массу проблем. OpenVPN или Linux для Cisco может быть вариант? Но я использовал Cisco для туннелей Cisco IPSec без проблем с перебоями в течение многих лет.
Вот документы Cisco по GRE/IpSec с NAT, но с помощью маршрутизатора Cisco вы можете избежать прохода туннеля через nat.
Реализация IPSec в Cisco не совместима ни с чем другим, чем Cisco. Я знаю, что IPSec - это стандарт, но у Cisco есть особая реализация, которая не позволит вам подключать что-либо еще, кроме их оборудования.
Можно ли настроить этот туннель на моем Windows Server 2008? Это можно сделать, используя только инструменты Windows, или мне нужно дополнительное бесплатное / коммерческое программное обеспечение VPN?
Да, вам нужен Cisco VPN Client. Это бесплатно для IPSec и работает просто отлично. Просто будьте осторожны, так как это сделано для настольных клиентов. Это может иметь некоторые раздражающие функции, такие как короткие тайм-ауты.
Если это невозможно сделать на виртуальной Linux-машине, придется ли мне покупать и настраивать маршрутизатор Cisco для обработки задач IPSec + GRE?
Вы всегда можете купить коробку Cisco, которая делает IPSec. Будьте осторожны, вам может потребоваться специальное лицензирование для IPSec. Это будет самый надежный и простой вариант на сегодняшний день. С другой стороны, это не бесплатное решение. Небольшой Cisco ASA 5505 сделает свое дело.
Кроме того, вам не нужно иметь дополнительный публичный IP-адрес. Использование того же IP, который вы используете для всего остального, будет в порядке.
Openswan или Libreswan для Cisco работает нормально. Я использую его в качестве концентратора спица, Cisco - это концентратор, linux и Digi - это спицы. Я использую туннели GRE внутри IPsec, отлично работает.
Со стороны Cisco есть несколько советов: вам НЕ нужен ACL для определения интересного трафика на концентраторе, вам нужна карта маршрутов, чтобы остановить трафик в форме туннелей с NAT, Pre-shared-ключи работают нормально, места назначения определены по туннельным маршрутам GRE.