OpenConnect VPN server

OpenConnet Server（ocserv）是通过实现Cisco的AnyConnect协议，用DTLS作为主要的加密传输协议。我认为它的主要好处在于——

• AnyConnect的VPN协议默认使用UDP DTLS作为数据传输，但如果有什么网络问题导致UDP传输出现问题，它会利用最初建立的TCP TLS通道作为备份通道，降低VPN断开的概率。
• AnyConnect作为Cisco新一代的VPN解决方案，被用于许多大型企业，这些企业依赖它提供正常的商业运作，这些正常运作对应的经济效益（读作GDP），是我们最好的伙伴。
• OpenConnet的架设足够麻烦，我的意思是，如果你不是大型企业，你会用AnyConnect的概率无限趋近于零。再者，如果它足够简单，我就不用写这篇文章了。 至于它的自定义路由表支持，我觉得都是次要了。

介绍到此，让我们按步骤干好事情。

（下文选用最新的Ubuntu 14.04 LTS和OCServ 0.11.7作为标准环境）

IPSEC Over GRE与GRE Over IPSEC的区别和好处

IPSEC Over GRE与GRE Over IPSEC的区别和好处

到底是IPSEC Over GRE好呢，还是GRE Over IPSEC好？以前一直是出于一个模糊的状态，能通就行了么。今天再次作了一下研究比较，得出的结论是，当然是GRE Over IPSEC好！
        在此，先把这两个概念理一下。IPSEC Over GRE即IPSEC在里，GRE在外。先把需要加密的数据包封装成IPSEC包，然后再扔到GRE隧道里。作法是把IPSEC的加密图作用在Tunnel口上的，即在Tunnel口上监控（访问控制列表监控本地ip网段-源i和远端ip网段-目的地），是否有需要加密的数据流，有则先加密封装为IPSEC包，然后封装成GRE包进入隧道（这里显而易见的是，GRE隧道始终无论如何都是存在的，即GRE隧道的建立过程并没有被加密），同时，未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道，即存在有些数据可能被不安全地传递的状况。而GRE Over IPSEC是指，先把数据分装成GRE包，然后再分装成IPSEC包。做法是在物理接口上监控，是否有需要加密的GRE流量（访问控制列表针对GRE两端的设备ip），所有的这两个端点的GRE数据流将被加密分装为IPSEC包再进行传递，这样保证的是所有的数据包都会被加密，包括隧道的建立和路由的建立和传递。
       IPSEC Over GRE：
              a. 访问控制列表，针对两个网段的数据流，如：
                        ip access-list extended vpn12
                           permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
              b. 加密图放在Tunnel口
       GRE Over IPSEC：
              a. 访问列表，针对两个路由器之间的GRE流，如：
                        ip access-list extended vpn12
                            permit gre host 172.16.11.2 host 172.16.22.2
              b. 加密图作用在物理口。
        无论是哪种数据流，若一方进行了加密，而另一方没有配，则无法通讯，对于GRE则，路由邻居都无法建立。 
        另一个概念是隧道模式和传输模式。所谓的隧道模式还是传输模式，是针对如ESP如何封装数据包的，前提是ESP在最外面，如果都被Over到了GRE里，自然谈不上什么隧道模式和传输模式（都为隧道模式）。只有当GRE Over IPSEC的时候，才可以将模式改为传输模式。
       IPSEC不支持组播，即不能传递路由协议，而GRE支持。

cisco路由器配置GRE隧道举例

GRE 简述(为cisco路由器配置GRE隧道举例）

GRE(通用路由协议封装）是由Cisco和Net-smiths等公司于1994年提交给IETF的，标号为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GRE隧道协议。
GRE规定了如何用一种网络协议去封装另一种网络协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义，允许用户使用IP包封装IP、IPX、AppleTalk包，并支持全部的路由协议（如RIP2、OSPF等）。通过GRE，用户可以利用公共IP网络连接IPX网络、AppleTalk网络，还可以使用保留地址进行网络互连，或者对公网隐藏企业网的IP地址。

----GRE在包头中包含了协议类型，这用于标明乘客协议的类型；校验和包括了GRE的包头和完整的乘客

协议与数据；密钥用于接收端验证接收的数据；序列号用于接收端数据包的排序和差错控制；路由用于

本数据包的路由。

----GRE只提供了数据包的封装，它并没有加密功能来防止网络侦听和攻击。所以在实际环境中它常和IP

sec在一起使用，由IPsec提供用户数据的加密，从而给用户提供更好的安全性。

       GRE协议的主要用途有两个：企业内部协议封装和私有地址封装。在国内，由于企业网几乎全部采用的是TCP/IP协议，因此在中国建立隧道时没有对企业内部协议封装的市场需求。企业使用GRE的唯一理由应该是对内部地址的封装。当运营商向多个用户提供这种方式的VPN业务时会存在地址冲突的可能性。 

为Cisco路由器 配置GRE隧道

路由封装(GRE)最早是由Cisco提出的，而目前它已经成为了一种标准，被定义在RFC 1701, RFC 1702, 以及RFC 2784中。简单来说，GRE就是一种隧道协议，用来从一个网络向另一个网络传输数据包。

如果你觉得它和虚拟专用网（VPN）有些类似，那只是因为：从技术上讲，GRE隧道是某一类型的VPN，但是并不是一个安全隧道方式。不过你也可以使用某种加密协议对GRE隧道进行加密，比如VPN网络中常用的IPSec协议。

实际上，点到点隧道协议（PPTP）就是使用了GRE来创建VPN隧道。比如，如果你要创建Microsoft VPN隧道，默认情况下会使用PPTP，这时就会用到GRE。

为什么要用GRE?

为什么要使用GRE进行隧道传输呢？原因如下：

有时你需要加密的多播传输。GRE隧道可以像真实的网络接口那样传递多播数据包，而单独使用IPSec，则无法对多播传输进行加密。多播传输的例子包括OSPF, EIGRP, 以及RIPV2。另外，大量的视频、VoIP以及音乐流程序使用多播。

你所采用的某种协议无法进行路由，比如NetBIOS或在IP网络上进行非IP传输。比如，你可以在IP网络中使用GRE支持IPX或AppleTalk协议。

你需要用一个IP地址不同的网络将另外两个类似的网络连接起来。

如何配置GRE隧道？

在Cisco路由器上配置GRE隧道是一个简单的工作，只需要输入几行命令即可实现。以下是一个简单的例子。

路由器A:

interface Ethernet0/1
ip address 10.2.2.1 255.255.255.0

interface Serial0/0
ip address 192.168.4.1 255.255.255.0

interface Tunnel0
ip address 1.1.1.2 255.255.255.0
tunnel source Serial0/0
tunnel destination 192.168.4.2

路由器B:

interface FastEthernet0/1
ip address 10.1.1.1 255.255.255.0

interface Serial0/0
ip address 192.168.4.2 255.255.255.0

interface Tunnel0
ip address 1.1.1.1 255.255.255.0
tunnel source Serial0/0
tunnel destination 192.168.4.1

在这个例子中，两个路由器均拥有虚拟接口，即隧道接口。这一接口属于各自的网络，就好像一个点到点的T1环路。跨越隧道网络的数据采用串行网络方式传输。

对于每个路由器都有两种途径将数据传递到另一端，即通过串行接口以及通过隧道接口（通过隧道传递数据）。该隧道可以传输非路由协议的数据，如NetBIOS或AppleTalk。如果数据需要通过互联网，你可以使用IPSec对其进行加密。

从下面的信息反馈可以看出，路由器B上的隧道接口和其他网络接口没有什么不同：

RouterB# sh ip int brie

Interface   IP-Address   OK?  Method  Status                 Protocol
Ethernet0   10.1.1.1     YES  manual  up                     down
Serial0     192.168.4.2  YES  manual  up                     up
Serial1     unassigned   YES  unset   administratively down  down
Tunnel0     1.1.1.1      YES  manual  up                     up
RouterB#

解决GRE隧道的问题

由于GRE是将一个数据包封装到另一个数据包中，因此你可能会遇到GRE的数据报大于网络接口所设定的数据包最大尺寸的情况。接近这种问题的方法是在隧道接口上配置ip tcp adjust-mss 1436。
另外，虽然GRE并不支持加密，但是你可以通过tunnel key命令在隧道的两头各设置一个密钥。这个密钥其实就是一个明文的密码。
由于GRE隧道没有状态控制，可能隧道的一端已经关闭，而另一端仍然开启。这一问题的解决方案就是在隧道两端开启keepalive数据包。它可以让隧道一端定时向另一端发送keepalive数据，确认端口保持开启状态。如果隧道的某一端没有按时收到keepalive数据，那么这一侧的隧道端口也会关闭。