Ho letto molti confronti tra la modalità IPsec Transport e Tunnel, e c'è una chiara comprensione del fatto che quando due gateway si scambiano il traffico indirizzato, dovrebbero utilizzare la modalità Tunnel. In altre parole, la modalità di trasporto dovrebbe essere utilizzata solo tra due host (o due gateway se comunicano tra loro, non il routing del traffico). Quello che cerco di capire è se la modalità di trasporto può essere utilizzata in un'impostazione gateway-to-gateway, anche se non consigliata.
Le mie impostazioni sono le seguenti:
LAN1 < - > GW1 < - > GW2 < - > LAN2
Nel mio caso, voglio proteggere il collegamento tra GW1 e GW2 (contenente traffico IP da / a LAN1 a / da LAN2). È una connessione diretta, nessun routing coinvolto, nessun NAT, niente. Tutti i motivi per cui la modalità Tunnel è raccomandata (e la modalità di trasporto non lo è) non si applicano al mio caso - Sono OK a lasciare le intestazioni IP non crittografate e così via. Voglio risparmiare i byte overhead, quindi mi piacerebbe utilizzare la modalità di trasporto anche se in questo caso non è consigliabile.
Sto usando Ubuntu Linux con il pacchetto Strongswan e IPsec in modalità ESP.
La mia domanda è: è possibile ?
C'è una ragione "fondamentale" che lo rende impossibile, o è semplicemente "non raccomandato / di solito non fatto / non nel manuale Cisco" ma fattibile?
Qualcuno ha un file di configurazione che funziona?