17.1.5. IPSec Route basiert (VTI/XFRM)¶
In VT AIR ist es möglich, routenbasierte VPNs zu konfigurieren. Hier hängt die IPSec-Verarbeitung nicht (nur) von ausgehandelten Policies ab, sondern kann z.B. durch Routing von Paketen zu einer bestimmten IPSec-Schnittstelle gesteuert werden.
Sie können aus dem IPSec-Tunnel eine Schnittstelle erstellen, die oft als VTI oder als neuere Bezeichnung XFRM-Schnittstelle bezeichnet wird. Der Vorteil der Schnittstelle ist, dass die auf der Schnittstelle definierten statischen Routen automatisch gelöscht werden, wenn die Schnittstelle ausfällt. Der Status der Schnittstelle ist daran gebunden, ob die Phase 1 aktiv ist oder nicht.
Die Schnittstelle verändert den IPSec-Verkehr nicht, so dass das andere Ende des Tunnels keine Kenntnis davon haben muss. Das routenbasierte IPSec kann auch nur an einem Ende konfiguriert werden.
Es ermöglicht Failover-Konfigurationen, bei denen mehrere IPSec-Tunnel dieselben Routen, aber mit unterschiedlichen Metriken übertragen. Sie können die Schnittstelle in den Phase-1-Einstellungen auf aktiviert setzen. Für die Phase 2 kann ein beliebiges Netz oder mehrere Netze definiert werden.
Um auf das Interface zuzugreifen, müssen Sie manuell Routen aus Phase 2 erstellen Routen. Sie können auch eine IP-Adresse aufdem Interface setzten Interfaces konfigurieren.
Die Schnittstelle funktioniert wie jede andere Schnittstelle und kann Firewall- und NAT-Regeln sowie Dienste enthalten, die auf ihr laufen. Sie ermöglicht DNAT/SNAT vor dem Tunnel.
Ein weiterer Vorteil dieses Ansatzes ist, dass die MTU für die IPSec-Schnittstelle festgelegt werden kann, so dass die Pakete vor dem Tunneln fragmentiert werden können.