Вобщем смысл в том, что хоть и можно шифровать трафик в туннеле, а не сам туннель, но это неэффективно т.к. туннель с интерфейсом нам нужен тогда, когда мы не можем описать что хотим через policy (ведь тогда  интерфейс не нужен).  А если нам нужен интерфейс, то врядли мы можем описать через полиси что же нам надо шифровать

1. В том и суть, что может быть "шифрование гре" и может быть "шифрование гре с инкапсуляцией"
2. Кроме этого может быть шифрование всего "внутри гре" и шифрование всего "внутри гре с инкапсуляцией"
3. Чтобы не фантазировать о том, что могут быть заблуждения, достаточно взять "сырой пакет" тем же вайршарком и посмотреть на него:
- видим ESP: значит или что-то пошифровано при помощи IPSec или он, IPSec, чистый
- видим (в вашем случае ip-encap): значит или чистый ipip или в нем внутри инкапсулировано что-то еще. Например IPSec

Я досмотрел тот момент когда Роман про туннельный ipsec говорит. Он там оговорился. Его спросили про туннельный режим ipsec, а он отвечал про шифрование gre. И корме того он использовал старую картинку packetflow на которой стрелка показана после шифрования на Process out (потому что пакет попадает в то же место в которое он попал бы от локального процесса). А Роман говорит о том, что но попадает в сам локальный процесс. Но судя по тому как от там в момент рассказа про движение закашлялся, я думаю он и сам понял что запутался, но не стал на половине прерывать рассказ и говорить "забудьте все что я сказал, начинаем сначала".  А в той картинке  более корректно было бы срелку от шифрования (квадратик на шифрование отдельный же нарисован - опять же никакой не локальный порцесс) нарисовать на вход роутинг десижн(совмесно с local out). Что в текущем варианте на сайте микротика и отображено, т.к. буква К  на Routing Diagram это и есть вход от Local out

Ну вобщем не совсем корректно в плане того что пакет не попадает ни в какие локальные процессы, но  в общем случае, что пакет несколько раз наворачивает по цепочкам верно и с практической точки зрения его неточность не важна.

мне вот интересен глобальный смысл всё шифровать?
у меня рртр и л2тп ходят без шифровки и ни разу ничего не было

единственно, между офисами, gre с айписеком

если вам не нужно - не шифруйте, мы тут про все шифровать не обсуждали

просто все фанатеют от шифрации.. было б от кого

ну например  провайдеры могут подменять ответы на днс запросы к "запрещенным" сайтам. или блокировать такие запросы идущие внутри нешифрованного тунеля

совсем все конечно же смысла шифровать нет, но когда технически проще шифровать все, чем выбирать что шифровать ,а что нет, то шифруют все

бестолку всё это)

тока железо напрягать

от ТЗ же зависит. Если вам не нужно шифровать - не шифруйте

единственный момент, это когда есть конкурентная тема и оппоненты пытаются заюзать ваши внутренние ресурсы

а против госмашины шифровать бестолку

почему?

а наверно потому... 😉

Всем привет)

вот хотяб поэтому