IPsec over GRE und GRE over IPsec

[onkelbenz]

Hallo

Kennt vielleicht einer den Unterschied zwischen IPsec over GRE und GRE over IPsec?

Ich habe zu IPsec over GRE und zu GRE over IPsec Beschreibungen von Cisco gefunden. Dort steht folgendes:

What we are trying to cover in this text is IPsec over GRE tunnels (as a transport) not GRE over IPSEC (tunneled).

Also GRE over IPsec benutzt den Tunnel Mode und IPsec over GRE den Transopt Mode.

Nur wird beide Male bei der Konfiguration "mode transport" gewählt.

Ich sehe auch keinen Sinn Tunnel Mode zu wählen wenn schon sowieso GRE Tunnel da ist. Es ergibt folgendes Bild ( siehe Anhang )

Kann mir kaum vorstellen das jemand sowas gebrauchen kann und gehe davon aus dass irgendwo ein Fehler in den Unterlagen gemacht wurde.

Kennt nun jemand den unterschied?

Danke

[Gnork]

Also nen wenn du z.B. zwei Firmenstandorte Verbinden möchtest, bei denen dynamisches Routing läuft, lässt sich dies nicht über einen IPSec Tunnel bewerkstelligen (da keine multicasts unterstützt werden). Ein GRE Tunnel lässt allerdings dynamisches Routing zu, daher wird er einfach in den sichern IPSec Tunnel gepackt und fertig

[onkelbenz]

Danke für den Antwort, leider ist es nicht was ich suche. Ich möchte die Unterschiede wissen, und zwar nicht einfach Protokollstack (welcher aus dem Namen abgeleitet wird), sondern was unterscheidet die beide Technologien.

p.s. IPsec Tunnel leitet inzwischen IPmc weiter - siehe VTI

[Gnork]

Unterschied zwischen GRE und IPSec?

[onkelbenz]

Unterschied zwischen GRE und IPSec?

Bitte zeig mir die Stelle wo du es rausgelesen hast. Das interessiert mich wirklich was konnte man der art verdrehen...

[Gnork]

Könntest du bitte deine Frage neu formulieren? ^^

Was genau möchtest du denn wissen? Den Unterschied zwischen ein GRE Tunnel und einem IPSec Tunnel?

[RipperFox]

Also nen wenn du z.B. zwei Firmenstandorte Verbinden möchtest, bei denen dynamisches Routing läuft, lässt sich dies nicht über einen IPSec Tunnel bewerkstelligen (da keine multicasts unterstützt werden).

Mh.. stimmt IMHO so nicht - problematisch wäre z.B. wenn beide Standorte mit dynamischen IPs arbeiten würden (ich denke das meintest Du - dynamisches Routing ist was anderes - und so funktioniert das Internet)

Ein GRE Tunnel lässt allerdings dynamisches Routing zu, daher wird er einfach in den sichern IPSec Tunnel gepackt und fertig

[onkelbenz]

Meine Frage ist genau das was ripperFox angesprochen hat - wann verpacke ich IPsec in GRE Tunnel (IPsec over GRE) und wann verpacke ich GRE Tunnel in IPsec (GRE over IPsec), sowie was sind die vor- und Nachteile der beiden möglichkeiten.

[Crash2001]

Hi onkelbenz.

Schau mal hier und hier.

Da wird einiges dazu erläutert.

Bei IPSec over GRE gibt es Probleme mit NAT, da die IP-Adressen im Header verschlüsselt sind. => GRE over IPSec nutzen in dem Fall

man muss GRE over IPSec nutzen, wenn Routing Updates über die Leitung versendet werden sollen, da mit IPSec over GRE keine Routing-Updates versendet werden können.

[onkelbenz]

Hi onkelbenz.

Schau mal hier und hier.

Da wird einiges dazu erläutert.

:old

Das sind die gleichen 2 Links wie ich in meinen ersten Post angegeben hatte mit vermerk das es beide male das gleiche ist, auch wenn anders heißt.

Dieses Seitenpaar wird jedes mal gepostet wenn es irgendwie um IPsec und GRE geht - aber da steht nichts zu IPsec over GRE.

Wenn nur auch ein einziges Mal der Poster von diesem Link etwas mehr als den Namen durchgelesen hätte... oder wenigstens die Frage...

Was solls - ein versuch war es wert - danke

[Crash2001]

Hmmm... die zuletzt gestellte Frage ist doch damit (zumindest teilweise) beantwortet, oder? :confused:

Also gehts hier jetzt höchstens noch um zusätzliche Anwendungsbeispiele.

Ansonsten kannst du dir ja das hier noch durchlesen (da sind noch mal allgemeine Infos und die Begrenzungen der jeweiligen Lösung angesprochen):

Link1

Links2

Link3

P.S.:

Mit ein bisschen googlen kommt man auf genug Seiten, wo die Vor- und Nachteile der Technik jeweils erklärt werden und was man wo nutzt.

Aber meckern ist natürlich einfacher als klare Fragen zu formulieren, die man auch eindeutig beantworten kann und selber mal etwas zu suchen.

[onkelbenz]

Ich weiß, es war gut gemeint - danke.

Und gemekert habe ich nicht weil es nichts dabei rauskam, sondern wegen Antworten antworten auf nicht gelesene Fragen.

Ich habe viel gesucht - wenn ich da was zu IPsec over GRE gefunden hätte, würde ich nicht fragen - leider ist es nicht der fall, da (wie du es heute selbst miterlebt hast) gibt es genügend material zu GRE over Ipsec, aber nichts zum anderen Thema.

habe letztendlich dieses Thema weggelassen, also danke noch mal fürs Mitmachen

[ardcore]

IPSec over GRE und GRE over IPSec sind doch eigentlich von den Namen her recht aussagekräftig was ihre Funktion angeht. Ich verstehe da dein Problem nicht.

Im Falle von GRE over IPSec baust du zwischen zwei Endpunkten einen GRE-Tunnel auf der zu Transportzwecken (Routing über Public-Netze z.B. das Internet) und Sicherheitsgründen (Verschüsselung) in IPSec-Pakete enkapsuliert wird. Anwendungszwecke sind wir hier schon genannt z.B Abgleich von Routen mittels eines IGP zwischen Firmenstandorten über das Internet.

Im Falle von IPSec over GRE baust du zwischen Endpunkten einen IPSec-Tunnel auf der zu Transportzwecken in GRE encapsuliert wird. Dieser wird aus Gründen, die unter anderem wären: Transport des Tunnels über ein Netz das nicht IP fähig ist, Tunneling des IPSec-Tunnels durch ein IP-Sec-Aware-Gerät das kein IPSec-Passthrough unterstützt etc.

Ich hoffe das hat zu Klärung beigetragen. Cisco hat hier sicher keinen Fehler in seinen Unterlagen gemacht