10.3. IPsec over GRE

При совместном использовании GRE и IPsec могут быть созданы 2 типа соединений: IPsec over GRE и GRE over IPsec.

При использовании соединения IPsec over GRE происходит передача шифрованного трафика по незащищённому GRE-туннелю, т.е. сначала происходит инкапсуляция IPsec, а затем инкапсуляция GRE.

Для настройки IPsec over GRE необходимо:

Наименование

Описание

Шаг 1. Настройка туннеля GRE.

Подробнее о настройке туннельного интерфейса GRE читайте в разделе Интерфейс туннель.

Важно! При настройке туннельного GRE интерфейса в качестве адресов источника (локальный IP) и назначения (удалённый IP) должны быть указаны внешние IP-адреса интерфейсов устройства.

Шаг 2. Настройка Site-to-Site VPN-соединения.

Подробнее о настройке Site-to-Site VPN-соединения читайте в разделе VPN для защищенного соединения офисов (Site-to-Site VPN).

Важно! При настройке клиентского правила VPN в качестве адреса сервера необходимо указать IP-адрес туннельного интерфейса GRE.

Недостаток IPsec over GRE: не поддерживается передача многоадресных и широковещательных пакетов. Эта проблема отсутствует при использовании соединения GRE over IPsec.