讨论一下：VPN隧道的嵌套（变态问题）

大家都知道VPN的重要特性之一是在建立加密隧道的基础上
实现了对私有网络的访问。如果在已经建立了加密隧道的
两个VPN网关(a,b)所保护的子网内分别再放一个VPN网关(A,B)，如图

A<------a<=============>b-------->B

A,B网关 已经在a,b网关建立的加密隧道上实现了
默认路由的访问。那么A,B网关之间可不可以
建立加密隧道，以实现A,B网关后所保护的私有网络的访问哪？

本人以为像FreeSWan这样的VPN不可以，试想如果
从A网关出来的带有ESP头的包到达a网关，a网关对ESP头的
包做何处理？

我觉得没有什么问题，只是浪费资源，如果把AB换成两台主机就合适了。

对于外出的报文是做IPSEC的封装，进入的是解封装，如果有相应的策略匹配就进行相应的处理。

大家都知道VPN的重要特性之一是在建立加密隧道的基础上
实现了对私有网络的访问。如果在已经建立了加密隧道的
两个VPN网关(a,b)所保护的子网内分别再放一个VPN网关(A,B)，如图

A<------a<=============>b-------->B

A,B网关 已经在a,b网关建立的加密隧道上实现了
默认路由的访问。那么A,B网关之间可不可以
建立加密隧道，以实现A,B网关后所保护的私有网络的访问哪？

本人以为像FreeSWan这样的VPN不可以，试想如果
从A网关出来的带有ESP头的包到达a网关，a网关对ESP头的
包做何处理？

 

这个问题一点都不变态。

把B换成一个安全主机，A换成一个超级用户这一切就很正常了。

例如a,b各自保护一个网段，B是一台需要高度安全的主机，例如
财务数据库主机。那么也许只有a网段内的某一个人，例如leader
能够访问B，那么可以在A的机器上安装vpn client，在B上安装
vpn client，实现A->B的IPSEC，可以使用传输模式访问，同时防止
了a,b两个网段内部的其他主机访问B。当A出差回来，进入a网段，
他仍然可以不需要修改配置就直接建立到B的传输模式ipsec，
进行访问。

这种需求是有典型的。

要实现这种需求：

需要vpn gateway(a,b)
1、能够清晰的判断什么是应该放过去的ike 包，不至于
放过了A->B的IKE数据包。
2、能够判断什么事情该做，什么事情不该做，不至于在b处
做2次解密（又查不到spi，最后丢弃）

对vpn client没有特殊要求，实际上，A和B不应该感受到
a,b的存在。

还有一种需求如下，
A不在a网段，这种情况下需要A和b建立一条隧道之后，和B
建立一个ipsec sa。

这种情况对B上运行的ipsec client有特殊需求，需要在匹配
规则（sp）的时候，进行递归匹配，即加密完之后继续匹配。
此情况下如果遇到碎包，逻辑将变得异常复杂。