У меня есть два выделенных сервера, которые я настроил так, чтобы им требовались AH и ESP между их (общедоступными) IP-адресами и использованием racoon, который я настроил isakmp. Туннель IPsec между ними работает хорошо - я вижу, что весь трафик между ними зашифрован (то есть tcpdump показывает только заголовки AH и ESP независимо от того, какой трафик я посылаю между ними).
Теперь я немного параноик, что в какой-то момент что-то может произойти, и служба setkey, которая настраивает мою политику безопасности, может оказаться на обоих серверах. Или, возможно, что-то происходит, и кто-то сбрасывает политику безопасности. И тогда весь мой трафик между серверами будет зашифрован неделями или месяцами, прежде чем кто-то (надеюсь) заметит.
Вопрос: Что я могу сделать, чтобы трафик между этими двумя серверами не работал в незашифрованном виде?
Мое нерешительное решение: один из способов, которым я думал об этом, было назначить каждому из них частный IP-адрес (скажем, 192.168.0.1 и 192.168.0.2 для простоты), а затем иметь все мои приложения, которым нужно общаться с другим сервер использует эти частные IP-адреса, а не публичные IP-адреса, а затем делает так, чтобы эти частные IP-адреса могли маршрутизироваться только при включенном туннеле IPsec.
Вопросы: это реальный способ сделать это? Нужна ли мне GRE? Или я могу сделать это с помощью простого «ip route add 192.168.0.2/32 через [public ip 2] dev eth0» (с сервера 1)? Это необходимо? Какой лучший способ сделать это?