Zum Inhalt springen

IPsec over GRE und GRE over IPsec


Empfohlene Beiträge

Geschrieben

Hallo

Kennt vielleicht einer den Unterschied zwischen IPsec over GRE und GRE over IPsec?

Ich habe zu IPsec over GRE und zu GRE over IPsec Beschreibungen von Cisco gefunden. Dort steht folgendes:

What we are trying to cover in this text is IPsec over GRE tunnels (as a transport) not GRE over IPSEC (tunneled).

Also GRE over IPsec benutzt den Tunnel Mode und IPsec over GRE den Transopt Mode.

Nur wird beide Male bei der Konfiguration "mode transport" gewählt.

Ich sehe auch keinen Sinn Tunnel Mode zu wählen wenn schon sowieso GRE Tunnel da ist. Es ergibt folgendes Bild ( siehe Anhang )

Kann mir kaum vorstellen das jemand sowas gebrauchen kann und gehe davon aus dass irgendwo ein Fehler in den Unterlagen gemacht wurde.

Kennt nun jemand den unterschied?

Danke

post-73970-14430448803583_thumb.png

Geschrieben

Also nen wenn du z.B. zwei Firmenstandorte Verbinden möchtest, bei denen dynamisches Routing läuft, lässt sich dies nicht über einen IPSec Tunnel bewerkstelligen (da keine multicasts unterstützt werden). Ein GRE Tunnel lässt allerdings dynamisches Routing zu, daher wird er einfach in den sichern IPSec Tunnel gepackt und fertig :)

Geschrieben

Danke für den Antwort, leider ist es nicht was ich suche. Ich möchte die Unterschiede wissen, und zwar nicht einfach Protokollstack (welcher aus dem Namen abgeleitet wird), sondern was unterscheidet die beide Technologien.

p.s. IPsec Tunnel leitet inzwischen IPmc weiter - siehe VTI

Geschrieben
Also nen wenn du z.B. zwei Firmenstandorte Verbinden möchtest, bei denen dynamisches Routing läuft, lässt sich dies nicht über einen IPSec Tunnel bewerkstelligen (da keine multicasts unterstützt werden).

Mh.. stimmt IMHO so nicht - problematisch wäre z.B. wenn beide Standorte mit dynamischen IPs arbeiten würden (ich denke das meintest Du - dynamisches Routing ist was anderes - und so funktioniert das Internet)

Ein GRE Tunnel lässt allerdings dynamisches Routing zu, daher wird er einfach in den sichern IPSec Tunnel gepackt und fertig :)

Geschrieben

Meine Frage ist genau das was ripperFox angesprochen hat - wann verpacke ich IPsec in GRE Tunnel (IPsec over GRE) und wann verpacke ich GRE Tunnel in IPsec (GRE over IPsec), sowie was sind die vor- und Nachteile der beiden möglichkeiten.

Geschrieben

Hi onkelbenz.

Schau mal hier und hier.

Da wird einiges dazu erläutert.

Bei IPSec over GRE gibt es Probleme mit NAT, da die IP-Adressen im Header verschlüsselt sind. => GRE over IPSec nutzen in dem Fall

man muss GRE over IPSec nutzen, wenn Routing Updates über die Leitung versendet werden sollen, da mit IPSec over GRE keine Routing-Updates versendet werden können.

Geschrieben
Hi onkelbenz.

Schau mal hier und hier.

Da wird einiges dazu erläutert.

:old

Das sind die gleichen 2 Links wie ich in meinen ersten Post angegeben hatte mit vermerk das es beide male das gleiche ist, auch wenn anders heißt.

Dieses Seitenpaar wird jedes mal gepostet wenn es irgendwie um IPsec und GRE geht - aber da steht nichts zu IPsec over GRE.

Wenn nur auch ein einziges Mal der Poster von diesem Link etwas mehr als den Namen durchgelesen hätte... oder wenigstens die Frage...

Was solls - ein versuch war es wert - danke

Geschrieben

Hmmm... die zuletzt gestellte Frage ist doch damit (zumindest teilweise) beantwortet, oder? :confused:

Also gehts hier jetzt höchstens noch um zusätzliche Anwendungsbeispiele.

Ansonsten kannst du dir ja das hier noch durchlesen (da sind noch mal allgemeine Infos und die Begrenzungen der jeweiligen Lösung angesprochen):

Link1

Links2

Link3

P.S.:

Mit ein bisschen googlen kommt man auf genug Seiten, wo die Vor- und Nachteile der Technik jeweils erklärt werden und was man wo nutzt.

Aber meckern ist natürlich einfacher als klare Fragen zu formulieren, die man auch eindeutig beantworten kann und selber mal etwas zu suchen.

Geschrieben

Ich weiß, es war gut gemeint - danke.

Und gemekert habe ich nicht weil es nichts dabei rauskam, sondern wegen Antworten antworten auf nicht gelesene Fragen.

Ich habe viel gesucht - wenn ich da was zu IPsec over GRE gefunden hätte, würde ich nicht fragen - leider ist es nicht der fall, da (wie du es heute selbst miterlebt hast) gibt es genügend material zu GRE over Ipsec, aber nichts zum anderen Thema.

habe letztendlich dieses Thema weggelassen, also danke noch mal fürs Mitmachen

Geschrieben

IPSec over GRE und GRE over IPSec sind doch eigentlich von den Namen her recht aussagekräftig was ihre Funktion angeht. Ich verstehe da dein Problem nicht.

Im Falle von GRE over IPSec baust du zwischen zwei Endpunkten einen GRE-Tunnel auf der zu Transportzwecken (Routing über Public-Netze z.B. das Internet) und Sicherheitsgründen (Verschüsselung) in IPSec-Pakete enkapsuliert wird. Anwendungszwecke sind wir hier schon genannt z.B Abgleich von Routen mittels eines IGP zwischen Firmenstandorten über das Internet.

Im Falle von IPSec over GRE baust du zwischen Endpunkten einen IPSec-Tunnel auf der zu Transportzwecken in GRE encapsuliert wird. Dieser wird aus Gründen, die unter anderem wären: Transport des Tunnels über ein Netz das nicht IP fähig ist, Tunneling des IPSec-Tunnels durch ein IP-Sec-Aware-Gerät das kein IPSec-Passthrough unterstützt etc.

Ich hoffe das hat zu Klärung beigetragen. Cisco hat hier sicher keinen Fehler in seinen Unterlagen gemacht ;)

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...