是否可以使用IPSec加密到我的默认网关的流量？

Question

首先，这纯粹是一个假设的学术问题。它并不是为了一个真正的实现。应该清楚的是，出于实际原因，这是过火了。

让我们假设我不信任我自己的LAN节点，因为有一个网络集线器(不是交换机)，任何人都可以收听我的以太网帧，或者因为有一个流氓网络管理员可能试图镜像我的以太网端口，或者因为我害怕WPAK架。

是否有可能设置IPSec，使主机和路由器之间的通信被加密？也就是说，主机将对通信进行加密，然后将其发送到路由器，然后路由器将其解密，并定期转发到它应该路由到的任何互联网主机。

我知道通信可以在两个路由器之间加密，形成一个站点到站点的VPN，或者在两个主机之间，或者在主机和远程站点之间。但是在所有这些情况下，都有一个特定的目标IP地址或路由器，IPSec配置可以针对这些地址或路由器。

当在默认网关上路由通信时，路由器的IP不起作用:使用的是远程主机的地址和网关的MAC地址。所以我不明白是否有可能以这种方式设置IPSec。

不过，我知道有可能以另一种方式这样做:为每个客户端使用一个/30，并将您的连接视为路由器路由表中的虚拟局域网地址空间的典型“道路战士”，并设置IPSec以使用/30 IP用于IPSec端点。或者使用PPTP，L2TP，甚至PPPoE进行第二层加密.

我想知道的是，是否有可能有一个典型的/24，其中主机可以使用机会主义加密来相互交谈，但也可以加密默认网关流量。

Answer 1

通常，VPN连接使用“分割隧道”，即。只有特定的子网(或多个子网)通过隧道路由。

如果没有分割隧道，所有的流量都会通过隧道路由，所有的流量都会被加密--默认的网关设置在隧道的远端。您的VPN网关可能是路由器，显然需要允许您通过它访问Internet。

虚拟专用网也是提高无线网络安全性的一种常用方法，解决了WPA2刚刚发现的弱点。