Настройка туннельного брандмауэра Mikrotik gre
Обновлено: 21.11.2024
В этом лабораторном занятии вы будете использовать туннель GRE и маршрутизацию OSPF для подключения «удаленного» бизнес-офиса к бизнес-сети «штаб-квартиры».
Сеть дизайнеров
Топология вашей сети должна соответствовать этой схеме. Как и в предыдущей лабораторной работе, «DHCPServer» на самом деле является маршрутизатором Mikrotik, но он настроен как конечная точка, а не как маршрутизатор.
Реализация
Этапы предварительной настройки
- Настройте имена хостов маршрутизаторов (и «маршрутизатора» DHCPServer) в GNS3, чтобы избежать путаницы (через графический интерфейс).
- Настройте имена хостов маршрутизаторов в самом маршрутизаторе, чтобы избежать путаницы (через интерфейс командной строки).
- Настройте клиент DHCP на всех клиентах Webterm
- Отключите DHCP-клиент на DHCPServer — он не нужен.
- Настройте DNS для Router-HQ, Router-Branch-Office, Router1, Router2 и DHCPServer, используя общедоступные IP-адреса DNS Google: ip dns set server=8.8.8.8,8.8.4.4, а затем ip dns print для подтверждения настройка.
Настроить "Общедоступный Интернет"
Часть "общедоступного Интернета" этой сети имеет доступ в Интернет через узел NAT. Чтобы настроить эту часть сети:
- Настройте клиент DHCP на Router-Branch-Office и Router-HQ для работы на интерфейсе ether1. Они получат IP-адрес от узла NAT.
- Настройте DHCP-клиент на webterm-public . Он получит сетевой адрес от узла NAT.
Настройка туннеля GRE с шифрованием IPSec
Используя общую инкапсуляцию маршрутизации (GRE) с IPSec, создайте зашифрованный туннель между «удаленной» бизнес-сетью и бизнес-сетью «штаб-квартиры».
Сначала найдите IP-адреса Router-Branch-Office и Router-HQ, которые были получены через DHCP: ip address print . Хотя технически это все еще частные адреса (из-за NAT), мы будем действовать так, как будто это общедоступный Интернет.
Затем, используя эти «общедоступные» IP-адреса, настройте виртуальные сетевые адаптеры на обоих маршрутизаторах для создания конечных точек туннеля. Маршрутизацию с аппаратным ускорением («быстрый путь») необходимо отключить, так как она не поддерживается на этом программном маршрутизаторе:
- На Router-Branch-Office: interface gre add name=gre-tunnel remote-address=IP-OF-ROUTER-HQ local-address=IP-OF-ROUTER-BRANCH-OFFICE ipsec-secret="SecretTigerPassword" allow -fast-path=нет
- На Router-HQ: interface gre add name=gre-tunnel remote-address=IP-OF-ROUTER-BRANCH-OFFICE local-address=IP-OF-ROUTER-HQ ipsec-secret="SecretTigerPassword" allow-fast -путь=нет
Назначьте IP-адреса этим виртуальным сетевым адаптерам, чтобы их можно было использовать в сети.
- На Router-Branch-Office: ip address add address=10.100.1.2/30 interface=gre-tunnel
- На Router-HQ: ip-адрес add address=10.100.1.1/30 interface=gre-tunnel
Предоставьте снимок экрана, подтверждающий работоспособность туннеля GRE. Из Router-HQ пропингуйте IP-адрес туннеля Router-Branch-Office: 10.100.1.2. Это будет проходить через туннель.
Настройка сетевой маршрутизации HQ с помощью OSPF
В сети штаб-квартиры протокол Open Shortest Path First (OSPF) будет использоваться вместо RIP для динамического создания записей в таблице маршрутизации. Чтобы включить OSPF на Router1, Router2 и Router-HQ, выполните следующие действия.
Сначала настройте все статические IP-адреса на трех маршрутизаторах.
Во-вторых, убедитесь, что экземпляр OSPF с именем default уже существует: маршрутизация экземпляра ospf print
В-третьих, убедитесь, что область OSPF по умолчанию, называемая магистралью, уже существует: маршрутизация области ospf print
В-четвертых, на каждом маршрутизаторе добавьте сети, которые напрямую к нему подключены через маршрутизацию ospf network add network=aa.bb.cc.dd/n area=backbone . НЕ включайте сюда "общедоступный Интернет".
- Роутер-HQ видит локальные сети 10.100.3.0/30 и 10.100.2.0/30
- Маршрутизатор 1 видит локальные сети 10.100.3.0/30 , 10.100.4.0/30 и 10.0.10.0/24
- Маршрутизатор 2 видит локальные сети 10.100.4.0/30 , 10.100.2.0/30 и 10.0.20.0/24
Чтобы убедиться, что OSPF работает:
- Убедитесь, что каждый маршрутизатор с поддержкой OSPF видит своих соседей: распечатка соседа ospf
- Убедитесь, что каждая таблица маршрутизации действительна и содержит маршруты к удаленным подсетям, которые вы ожидаете увидеть: ip route print
- Обратите внимание, что Router-HQ из-за виртуального подключения к «Интернету», а также к туннелю GRE, будет иметь дополнительные маршруты по сравнению с Router1 и Router2, которые будут видеть только сети с прямым подключением, а также маршруты, объявленные через OSPF.
Обратите внимание, что, хотя Router-HQ имеет маршрут по умолчанию ( 0.0.0.0/0 ) и, таким образом, может напрямую пинговать 8.8.8.8 (попробуйте!), этого нельзя сказать о Router1 и Router2 (попробуйте, вы вы получите сообщение об ошибке «Нет маршрута к хосту». ).Если не указано иное, OSPF не будет распространять маршрут по умолчанию (который есть у Router-HQ) на другие маршрутизаторы в этой области. Таким образом, Router1 и Router2 не знают, как получить доступ к произвольным подсетям, а только к определенным подсетям, объявленным OSPF.
Чтобы включить распределение маршрутов по умолчанию, чтобы все маршрутизаторы (и устройства) могли иметь доступ в Интернет, включите его на RouterHQ:
Теперь Router1 и Router2 должны видеть маршрут по умолчанию. Попробуйте еще раз пропинговать 8.8.8.8 - ошибка "нет маршрута к хосту" исчезла! Но пинг истекает. Вы можете запускать Wireshark по различным ссылкам, чтобы увидеть, как ваш пинг направляется в Интернет и возвращающиеся ответы, и диагностировать проблему. Проблема заключается в отсутствии преобразования сетевых адресов (NAT) на Router-HQ — исходящий пинг идет к узлу NAT, но упрощенный узел GNS3 NAT не знает, как транслировать ответ в остальную часть виртуальной сети.
Включите NAT на Router-HQ, чтобы все внутренние корпоративные устройства выглядели как исходящие от этого маршрутизатора: ip firewall nat add chain=srcnat action=masquerade out-interface=ether1 . После этого проверка связи должна пройти успешно.
Настройка сети филиала с OSPF
В филиале также будет использоваться протокол Open Shortest Path First (OSPF). Однако здесь он будет настроен на расширение сети «штаб-квартиры» через туннель GRE до филиала, при этом все данные будут отображаться в общедоступном Интернете в виде зашифрованных данных.
Сначала настройте все статические IP-адреса на Router-Branch-Office.
Во-вторых, убедитесь, что экземпляр OSPF с именем default уже существует: маршрутизация экземпляра ospf print
В-третьих, убедитесь, что область OSPF по умолчанию, называемая магистралью, уже существует: маршрутизация области ospf print
В-четвертых, на Router-Branch-Office добавьте сети, которые напрямую к нему подключены через маршрутизацию ospf network add network=aa.bb.cc.dd/n area=backbone . НЕ включайте сюда общедоступный Интернет.
- Router-Branch-Office видит 10.0.30.0/24 и 10.100.1.0/30 (туннель GRE)
Наконец, чтобы отразить этот последний шаг, добавьте на Router-HQ ту же сеть туннеля GRE ( 10.100.1.0/30 ), что и сеть OSPF.
Чтобы убедиться, что OSPF работает:
- Убедитесь, что Router-Branch-Office видит своего соседа (Router-HQ) через OSPF через интерфейс gre-туннеля: Routing ospf Neighbor Print
- Убедитесь, что таблица маршрутизации действительна и содержит маршруты к удаленным подсетям, которые вы ожидаете увидеть: ip route print . Следующим переходом для этих маршрутов должен быть IP-адрес туннеля Router-HQ. Другими словами, чтобы достичь всех подсетей в штаб-квартире корпорации, трафик должен пройти через туннель GRE к Router-HQ.
Предоставьте снимок экрана, показывающий, что Router-Branch-Office может пинговать удаленные порты Router1 и Router2: 10.0.10.254 и 10.0.20.254. пройти через туннель GRE.
Подобно сети штаб-квартиры, сеть филиала также имеет маршрут к Интернету по умолчанию, а также требует включения NAT на маршрутизаторе-филиале-офисе: ip firewall nat add chain=srcnat action=masquerade out-interface=ether1 .
Настроить DHCP-сервер для сети
В корпоративной сети присутствует один централизованный DHCP-сервер. Устройства в подсети 1 (10.0.10.0/24) и подсети 3 (10.0.30.0/24) должны иметь возможность получать адреса через ретранслятор DHCP с централизованного сервера DHCP. Как и в предыдущей лабораторной работе, этот «DHCPServer» на самом деле является маршрутизатором Mikrotik, который действует как DHCP-сервер, а не как маршрутизатор. Обязательно вручную укажите маршрут по умолчанию к Router2. Перед устранением неполадок самого DHCP убедитесь, что DHCPServer может успешно пропинговать Router2, Router1, Router-HQ и Router-Branch-Office.
Брандмауэры
В целях безопасности разверните сетевой брандмауэр на Router-Branch-Office и Router-HQ.
Входящий трафик (где пункт назначения ЯВЛЯЕТСЯ маршрутизатором) должен быть разрешен только в следующих случаях:
- Это IP-протокол 50 (ESP — Encapsulating Security Payload, т. е. зашифрованный туннель):
ip firewall filter add chain=input action=accept protocol=50 connection-state=new comment="Разрешить IP-протокол 50 - ЕСП" - Это порт назначения UDP 500 (ISAKMP — Internet Security Association and Key Management Protocol, т. е. настройка ключей для зашифрованного туннеля):
ip firewall filter add chain=input action=accept protocol=udp dst-port= 500 connection-state=new comment="Разрешить ISAKMP" - Это исходит из корпоративной сети:
ip firewall filter add chain=input action=accept src-address=10.0.0.0/8 connection-state=new comment="Разрешить локальный" - Это часть существующего соединения:
ip firewall filter add chain=input action=accept connection-state=installed,related comment="Принимать установленные соединения" - Все остальное должно быть запрещено:
IP-фильтр брандмауэра add chain=input action=drop comment="Запретить по умолчанию"
После добавления правил брандмауэра убедитесь, что вы по-прежнему можете отправлять эхо-запросы к Интернет-адресам и по-прежнему выполнять эхо-запросы через туннель GRE между сетью филиала и сетью штаб-квартиры.
Предоставьте скриншот печати фильтра брандмауэра ip на Router-HQ и Router-Branch-Office, показывающий реализованные правила.
Лабораторная работа
Отправьте следующие элементы на задание Lab 10 Canvas:
По завершении нажмите кнопку "Стоп" и выйдите из GNS3. Виртуальная машина GNS3 (в VMware) должна остановиться и выйти автоматически.
GRE (Generic Routing Encapsulation) – это протокол туннелирования, изначально разработанный Cisco. Он может инкапсулировать широкий спектр протоколов, создавая виртуальную двухточечную связь.
GRE аналогичен IPIP и EoIP, которые изначально разрабатывались как туннели без сохранения состояния. Это означает, что если удаленный конец туннеля выйдет из строя, весь трафик, проходящий через туннели, будет заблокирован. Чтобы решить эту проблему, в RouterOS добавлена функция поддержания активности для туннелей GRE.
Туннель GRE добавляет 24 байта служебных данных (4 байта gre-заголовка + 20 байтов IP-заголовка).
Примечание. Туннель GRE может пересылать только пакеты IP и IPv6 (тип Ethernet 800 и 86dd). Не используйте параметр «Проверить шлюз» «arp», когда туннель GRE используется в качестве шлюза маршрута.
Свойства
Свойства Описание clamp-tcp-mss ( yes | no; По умолчанию: yes) Управляет изменением размера MSS для полученных пакетов TCP SYN. Если этот параметр включен, маршрутизатор изменит размер MSS для полученных пакетов TCP SYN, если текущий размер MSS превышает MTU туннельного интерфейса (с учетом служебных данных TCP/IP). Полученный инкапсулированный пакет по-прежнему будет содержать исходный MSS, и только после этого декапсуляция MSS изменяется. комментарий (строка; по умолчанию: ) Краткое описание туннеля. отключено (да | нет; по умолчанию: нет) Включает/отключает туннель. не фрагментировать (наследовать | нет; по умолчанию: нет) dscp (наследовать | целое число 53 ; По умолчанию: ) Установите для значения dscp в заголовке Gre фиксированное значение или наследуйте от значения dscp, взятого из туннелируемого трафика ipsec- secret (строка; по умолчанию: ) Когда указан секрет, маршрутизатор добавляет динамический одноранговый узел ipsec к удаленному адресу с предварительным общим ключом и политикой со значениями по умолчанию (по умолчанию фаза 2 использует sha1/aes128cbc). keepalive (integer[/time],integer 0..4294967295; По умолчанию: 10s,10) Параметр поддержания активности туннеля устанавливает временной интервал, в течение которого флаг работы туннеля будет оставаться, даже если удаленный конец туннеля выйдет из строя. Если настроено время, повторные попытки завершаются неудачей, флаг работы интерфейса снимается. Параметры записываются в следующем формате: KeepaliveInterval,KeepaliveRetries, где KeepaliveInterval — интервал времени, а KeepaliveRetries — количество повторных попыток. По умолчанию для проверки активности установлено значение 10 секунд и 10 повторных попыток. l2mtu (integer [0..65536]; по умолчанию: 65535) Layer2 Максимальная единица передачи. локальный-адрес (IP; по умолчанию: 0.0.0.0) IP адрес, который будет использоваться для локального конца туннеля. Если установлено 0.0.0.0, то будет использоваться IP-адрес исходящего интерфейса. mtu (integer [0..65536]; по умолчанию: 1476 ) Layer3 Максимальная единица передачи. имя (строка; по умолчанию: ) Имя туннель. удаленный-адрес (IP; по умолчанию: ) IP-адрес удаленного конца туннеля. Примеры настройки
Целью этого примера является обеспечение подключения уровня 3 между двумя удаленными сайтами через Интернет.
У нас есть два сайта: Site1 с диапазоном локальной сети 10.1.101.0/24 и Site2 с диапазоном локальной сети 10.1.202.0/24.
Первый шаг — создание туннелей GRE. Маршрутизатор на сайте 1:
Маршрутизатор на сайте 2:
Как видите, настройка туннеля довольно проста.
Примечание. В этом примере поддержка активности не настроена, поэтому интерфейс туннеля будет иметь рабочий флаг, даже если удаленный конец туннеля недоступен
Теперь нам просто нужно настроить адреса туннелей и правильную маршрутизацию. Маршрутизатор на сайте 1:Конфигурация MikroTik Site to Site GRE Tunnel с IPsec
VPN (виртуальная частная сеть) – это технология, обеспечивающая безопасный туннель через общедоступную сеть. Пользователь частной сети может отправлять и получать данные в любую удаленную частную сеть с помощью VPN-туннеля, как если бы его сетевое устройство было напрямую подключено к этой частной сети.
MikroTik предоставляет туннель GRE (общая инкапсуляция маршрутизации), который используется для создания VPN-туннеля между сайтами.Протокол туннелирования GRE, который может инкапсулировать широкий спектр протоколов для создания виртуального канала «точка-точка», изначально был разработан Cisco. GRE — это туннель без сохранения состояния, такой как EoIP и IPIP. Это означает, что если удаленный конец туннеля выйдет из строя, весь трафик, проходящий через туннели, будет заблокирован. Чтобы решить эту проблему, RouterOS добавила функцию «keepalive» для туннелей GRE. По умолчанию для проверки активности установлено значение 10 секунд и 10 повторных попыток.
GRE добавляет внешний заголовок с указанием точки входа в туннель (SourceIP) и точки выхода из туннеля (DestinationIP), но внутренний пакет остается без изменений.
Туннель GRE только инкапсулирует IP-пакеты, но не обеспечивает аутентификацию и шифрование. Туннель GRE с IPsec обеспечивает инкапсуляцию IP-пакетов, а также аутентификацию и шифрование. Использование IPsec делает ваши пакеты безопасными, но работает медленно из-за дополнительной аутентификации и процесса шифрования. Итак, я считаю, что если вас беспокоит безопасность данных, используйте туннель GRE с IPsec, но если безопасность данных не является такой головной болью, используйте только туннель MikroTik GRE, потому что он работает намного быстрее.
Целью этой статьи является разработка туннеля GRE VPN с IPsec. Итак, в этой статье я покажу, как создать туннель GRE с IPsec, чтобы установить безопасный туннель VPN между двумя маршрутизаторами.
Сетевая схема
Чтобы настроить GRE VPN-туннель между сайтами (с IPsec) между двумя маршрутизаторами MikroTik, я использую схему сети, показанную на рисунке ниже.
В этой сети маршрутизатор Office1 подключен к Интернету через интерфейс ether1 с IP-адресом 192.168.70.2/30. В вашей реальной сети этот IP-адрес будет заменен общедоступным IP-адресом, предоставленным вашим интернет-провайдером. Интерфейс ether2 маршрутизатора Office1 подключен к локальной сети с IP-сетью 10.10.11.0/24. После настройки туннеля GRE в маршрутизаторе Office 1 будет создан интерфейс туннеля GRE, которому будет назначен IP-адрес 172.22.22.1/30.
Аналогичным образом маршрутизатор Office 2 подключен к Интернету через интерфейс ether1 с IP-адресом 192.168.80.2/30. В вашей реальной сети этот IP-адрес также будет заменен общедоступным IP-адресом. Интерфейс ether2 маршрутизатора Office 2 подключен к локальной сети с IP-сетью 10.10.12.0/24. После настройки туннеля GRE в маршрутизаторе Office 2 также будет создан интерфейс туннеля GRE, которому будет назначен IP-адрес 172.22.22.2/30.
Мы настроим GRE-туннель между этими двумя маршрутизаторами MikroTik, чтобы локальные сети этих маршрутизаторов могли взаимодействовать друг с другом через этот VPN-туннель в общедоступной сети.
Основные устройства и IP-информация
Чтобы настроить соединение GRE VPN между двумя маршрутизаторами, я использую две MikroTik RouterOS v6.38.1. Информация об IP, которую я использую для этой конфигурации сети, приведена ниже.
- IP-адрес маршрутизатора Office 1 в глобальной сети: 192.168.70.2/30, блок IP-адресов в локальной сети 10.10.11.0/24 и IP-адрес туннельного интерфейса 172.22.22.1/30
- IP-адрес маршрутизатора Office 2 в глобальной сети: 192.168.80.2/30, блок IP-адресов в локальной сети 10.10.12.0/24 и IP-адрес туннельного интерфейса 172.22.22.2/30
Эта информация об IP предназначена только для моей цели RND. Измените эту информацию в соответствии с требованиями вашей сети.
Конфигурация туннеля EoIP между сайтами с IPsec
Теперь мы начнем настройку GRE VPN между сайтами в соответствии с приведенной выше сетевой схемой. Полную конфигурацию GRE можно разделить на четыре части.
- Базовая конфигурация MikroTik RouterOS
- Конфигурация туннеля GRE с IPsec
- Назначение IP-адреса на туннельном интерфейсе
- Конфигурация статического маршрута
Часть 1. Базовая настройка MikroTik RouterOS
Базовая конфигурация RouterOS включает назначение IP-адреса WAN, IP-адреса LAN, IP-адреса DNS и маршрута, а также настройку NAT. В соответствии с нашей сетевой схемой мы теперь завершим эти темы в наших двух MikroTik RouterOS (маршрутизаторе Office 1 и маршрутизаторе Office 2).
Базовая конфигурация маршрутизатора Office 1
Следующие шаги помогут вам выполнить базовую настройку в Office 1 RouterOS.
- Войдите в Office 1 RouterOS с помощью winbox и перейдите в раздел IP > Адреса. В окне списка адресов нажмите ЗНАК ПЛЮС (+). В окне «Новый адрес» введите IP-адрес WAN (192.168.70.2/30) в поле ввода «Адрес», выберите интерфейс WAN (ether1) в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК». Снова нажмите ЗНАК ПЛЮС и введите IP-адрес LAN (10.10.11.1/24) в поле ввода адреса, выберите интерфейс LAN (ether2) в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК».
- Перейдите в раздел IP > DNS и введите IP-адрес DNS-серверов (8.8.8.8 или 8.8.4.4) в поле ввода "Серверы" и нажмите кнопку "Применить" и "ОК".
- Перейдите в раздел IP > Брандмауэр и щелкните вкладку NAT, а затем щелкните ЗНАК ПЛЮС (+). На вкладке «Общие» выберите «srcnat» в раскрывающемся меню «Цепочка», нажмите вкладку «Действие», а затем выберите masquerade в раскрывающемся меню «Действие». Нажмите кнопку "Применить" и "ОК".
- Перейдите в раздел IP > Маршруты и нажмите ЗНАК ПЛЮС (+). В окне «Новый маршрут» щелкните поле ввода «Шлюз», введите адрес шлюза WAN (192.168.70.1) в поле ввода «Шлюз» и нажмите кнопку «Применить» и «ОК».
Выполнена базовая настройка RouterOS в Office 1 Router. Теперь проделаем аналогичные действия в Office 2 RouterOS.
Базовая конфигурация маршрутизатора Office 2
Следующие шаги помогут вам выполнить базовую настройку в Office 2 RouterOS.
- Войдите в Office 2 RouterOS с помощью winbox и перейдите в раздел IP > Адреса. В окне списка адресов нажмите ЗНАК ПЛЮС (+). В окне «Новый адрес» введите IP-адрес WAN (192.168.80.2/30) в поле ввода «Адрес», выберите интерфейс WAN (ether1) в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК». Снова нажмите ЗНАК ПЛЮС и введите IP-адрес LAN (10.10.12.1/24) в поле ввода адреса, выберите интерфейс LAN (ether2) в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК».
- Перейдите в раздел IP > DNS и введите IP-адрес DNS-серверов (8.8.8.8 или 8.8.4.4) в поле ввода "Серверы" и нажмите кнопку "Применить" и "ОК".
- Перейдите в раздел IP > Брандмауэр и щелкните вкладку NAT, а затем щелкните ЗНАК ПЛЮС (+). На вкладке «Общие» выберите «srcnat» в раскрывающемся меню «Цепочка», нажмите вкладку «Действие», а затем выберите masquerade в раскрывающемся меню «Действие». Нажмите кнопку "Применить" и "ОК".
- Перейдите в раздел IP > Маршруты и нажмите ЗНАК ПЛЮС (+). В окне «Новый маршрут» щелкните поле ввода «Шлюз», введите адрес шлюза WAN (192.168.80.1) в поле ввода «Шлюз» и нажмите кнопку «Применить» и «ОК».
Выполнена базовая настройка RouterOS в Office 2 Router. Теперь приступим к настройке туннеля EoIP.
Часть 2. Настройка туннеля GRE с IPsec
После базовой настройки MikroTik Router мы теперь настроим туннель GRE с IPsec в обеих MikroTik RouterOS. В конфигурации туннеля GRE мы укажем локальный и удаленный IP-адрес, а также общий секрет для IPsec.
Конфигурация туннеля GRE в маршрутизаторе Office 1
Следующие шаги покажут, как настроить туннель GRE на маршрутизаторе Office 1.
- Выберите пункт меню «Интерфейсы» в Winbox, перейдите на вкладку «Туннель GRE», а затем нажмите «Плюс» (+). Появится новое окно интерфейса.
- Укажите значимое имя интерфейса туннеля GRE (gre-tunnel-r1) в поле ввода имени.
- Укажите IP-адрес WAN маршрутизатора Office 1 (192.168.70.2) в поле ввода локального адреса.
- Укажите IP-адрес маршрутизатора Office 2 в глобальной сети (192.168.80.2) в поле ввода удаленного адреса.
- Поместите общий секрет IPsec в поле ввода Секрет IPsec, если ваш маршрутизатор поддерживает IPsec и вы хотите включить аутентификацию и шифрование IPsec. Вы должны помнить, что этот секрет IPsec должен быть одинаковым на обоих маршрутизаторах.
- Также снимите флажок Разрешить быстрый путь, если он установлен и вы хотите включить IPsec.
- Нажмите кнопку "Применить" и "ОК".
- Вы увидите, что новый интерфейс туннеля GRE, за которым следует ваше имя (gre-tunnel-r1), был создан в окне списка интерфейсов.
Настройка туннеля GRE в маршрутизаторе Office 1 завершена. Теперь мы проделаем аналогичные шаги в нашем маршрутизаторе Office 2, чтобы создать туннельный интерфейс GRE.
Конфигурация туннеля GRE в маршрутизаторе Office 2
Следующие шаги покажут, как настроить туннель GRE на маршрутизаторе Office 2.
Настройка туннеля GRE в маршрутизаторе Office 2 завершена. Теперь мы назначим IP-адрес в нашем недавно созданном туннельном интерфейсе GRE в наших обеих RouterOS, чтобы оба маршрутизатора могли общаться друг с другом через этот интерфейс туннеля VPN.
Часть 3. Назначение IP-адреса в туннельном интерфейсе GRE
После настройки туннеля GRE на обоих маршрутизаторах был создан новый интерфейс туннеля GRE. Таким образом, если мы назначим один и тот же блочный IP-адрес в обоих интерфейсах, оба маршрутизатора смогут взаимодействовать друг с другом через этот туннель EoIP. В этой части мы теперь назначим IP-адрес в нашем только что созданном туннельном интерфейсе.
Назначение IP-адреса на туннельном интерфейсе GRE маршрутизатора Office 1
Следующие шаги покажут, как назначить IP-адрес на туннельном интерфейсе маршрутизатора Office 1.
- Перейдите в пункт меню "IP" > "Адрес" и нажмите ЗНАК ПЛЮС (+).
- Поместите новый частный IP-адрес Блокировать IP-адрес (172.22.22.1/30) в поле ввода адреса.
- Выберите только что созданный туннельный интерфейс (eoip-tunnel-r1) в раскрывающемся меню «Интерфейс».
- Нажмите кнопку "Применить" и "ОК".
Назначение IP-адреса на туннельном интерфейсе маршрутизатора Office 1 завершено. Точно так же мы теперь назначим IP-адрес на туннельном интерфейсе маршрутизатора Office 2.
Назначение IP-адреса на туннельном интерфейсе GRE маршрутизатора Office 2
Следующие шаги покажут, как назначить IP-адрес в туннельном интерфейсе маршрутизатора Office 2.
- Перейдите в пункт меню "IP" > "Адрес" и нажмите ЗНАК ПЛЮС (+).
- Поместите новый частный IP-адрес Блокировать IP-адрес (172.22.22.2/30) в поле ввода адреса.
- Выберите только что созданный туннельный интерфейс (eoip-tunnel-r2) в раскрывающемся меню «Интерфейс».
- Нажмите кнопку "Применить" и "ОК".
Назначение IP-адреса на туннельном интерфейсе маршрутизатора Office 2 завершено. На этом этапе оба маршрутизатора теперь могут взаимодействовать друг с другом. Но локальные сети обоих маршрутизаторов не могут взаимодействовать друг с другом без настройки статической маршрутизации. Итак, в следующей части мы настроим статическую маршрутизацию в обоих офисных маршрутизаторах.
Часть 4. Настройка статического маршрута
Теперь мы настроим статический маршрут на обоих офисных маршрутизаторах, чтобы локальные сети каждого маршрутизатора могли взаимодействовать друг с другом через туннель GRE.
Конфигурация статического маршрута в маршрутизаторе Office 1
Следующие шаги покажут, как настроить статический маршрут в Office 1 Router.
- Перейдите в раздел IP > Маршруты и нажмите ЗНАК ПЛЮС (+). Появится окно «Новый маршрут».
- В окне «Новый маршрут» поместите блок IP-адресов назначения (10.10.12.0/24) в Dst. Поле ввода адреса.
- Введите адрес шлюза (172.22.22.2) в поле ввода шлюза.
- Нажмите кнопку "Применить" и "ОК".
Настройка статического маршрута в маршрутизаторе Office 1 завершена. Теперь настроим статический маршрут в Office 2 Router.
Конфигурация статического маршрута в Office 2 Router
Следующие шаги покажут, как настроить статический маршрут в Office 2 Router.
- Перейдите в раздел IP > Маршруты и нажмите ЗНАК ПЛЮС (+). Появится окно «Новый маршрут».
- В окне «Новый маршрут» поместите блок IP-адресов назначения (10.10.11.0/24) в Dst. Поле ввода адреса.
- Введите адрес шлюза (172.22.22.1) в поле ввода шлюза.
- Нажмите кнопку "Применить" и "ОК".
Настройка статического маршрута в Office 2 Router завершена. Теперь как маршрутизатор, так и его локальная сеть могут взаимодействовать друг с другом через туннель GRE в общедоступной сети.
Чтобы проверить конфигурацию, отправьте запрос ping с любого маршрутизатора или любого компьютера в локальной сети на другой компьютер в локальной сети. Если все в порядке, ваш запрос ping будет успешным.
Если вы столкнулись с какой-либо проблемой при правильном выполнении описанных выше шагов, посмотрите мое видео о настройке туннеля GRE VPN с IPsec. Я надеюсь, что это уменьшит вашу путаницу.
В этой статье описана конфигурация туннеля GRE VPN с IPsec. Надеюсь, вы сможете настроить туннель GRE с IPsec между двумя вашими офисными маршрутизаторами. Однако, если вы столкнетесь с какой-либо путаницей при настройке туннеля GRE на вашем маршрутизаторе MikroTik, не стесняйтесь обсуждать это в комментариях или свяжитесь со мной со страницы контактов. Я постараюсь остаться с вами.
В интернет-центрах Keenetic возможно создание туннелей IPIP (IP over IP), GRE (Generic Routing Encapsulation), EoIP (Ethernet over IP) как в чистом виде, так и в сочетании с туннелем IPSec, что позволяет использовать безопасность IPSec VPN стандарты для защиты этих туннелей.
Поддержка туннелей IPIP, GRE, EoIP в интернет-центрах Keenetic позволяет устанавливать VPN-соединение с аппаратными шлюзами, маршрутизаторами Linux, компьютерами и серверами с ОС UNIX/Linux, а также с другим сетевым и телекоммуникационным оборудованием, поддерживающим эти туннели.
Для работы с туннелями необходимо установить дополнительные соответствующие компоненты системы KeeneticOS:
'Туннелирование EoIP' (позволяет создавать туннели Ethernet через IP);
'Туннелирование GRE' (позволяет создавать туннели GRE);
'Туннелирование IP-IP' (позволяет создавать туннели IP-over-IP) ).Это можно сделать на странице "Общие настройки системы" в разделе "Обновления и параметры компонентов", нажав "Параметры компонентов".
Краткое описание
Туннели IPIP и GRE — это туннели сетевого уровня (L3 модели OSI), где доступны IP-адреса обеих сторон. В системе они представлены как интерфейсы GreX и IPIPX, и через них можно настроить маршрутизацию (включая маршрут по умолчанию), как и через любой другой интерфейс. Также для этих интерфейсов можно настроить уровень безопасности доступа — частный, защищенный или общедоступный (информацию об уровнях доступа можно найти в статье Настройка правил брандмауэра с помощью интерфейса командной строки).
IPIP (IP over IP) — один из самых простых в настройке туннелей (он инкапсулирует только одноадресный трафик IPv4). Вы можете настроить его в системе UNIX/Linux и на других маршрутизаторах (например, Cisco).
Туннель GRE (Generic Routing Encapsulation) — один из популярных типов VPN. Туннели GRE совместимы с аппаратными шлюзами безопасности, маршрутизаторами Mikrotik, маршрутизаторами Linux и другим подобным оборудованием (например, Cisco, Juniper и т. д.).
Туннель EoIP (Ethernet over IP) — это туннель уровня канала передачи данных (L2 модели OSI) через сетевой уровень (L3). Данные передаются через этот туннель на уровне кадра Ethernet.EoIP обеспечивает прозрачную сетевую среду, которая эмулирует прямое соединение Ethernet между сетями. Все MAC-адреса видны, и можно соединить две локальные сети L2 через Интернет, используя этот тип туннеля. EoIP использует GRE в качестве транспорта. Туннель EoIP может работать через IPIP, PPTP и любое другое соединение, способное передавать IP-пакеты. Через него может проходить любой трафик кроме IP, в том числе ARP, DHCP, PPPoE, IPv6 и т.д. Сканирование подсети через ARP будет работать в туннеле по умолчанию при изменении уровня безопасности на private/protected. В системе он представлен как интерфейс EoIPX.
EoIP разработан компанией MikroTik, поэтому есть совместимость с ними и линуксовыми роутерами, которые умеют работать с EoIP.ПРИМЕЧАНИЕ: Важно! Туннели IPIP, GRE, EoIP относятся к типу «точка-точка». Оба участника туннеля должны иметь внешние IP-адреса (или находиться в одной сети), и между ними не должно быть трансляции адресов NAT. Это предварительные условия для создания туннеля.
Проще говоря, для этих туннелей нет механизмов безопасности (нет механизмов шифрования или аутентификации).
Туннели IPIP, GRE и EoIP работают без сохранения состояния соединение, т.е. невозможно понять, работает ли туннель. Мы можем только настроить обе стороны, а затем проверить передачу данных.Вы можете использовать функцию Ping Check на туннельных интерфейсах IPIP, GRE и EoIP, чтобы проверить ее доступность.
Туннели IPIP, GRE и EoIP работают непосредственно по протоколу IPv4. IPIP использует IP-протокол номер 4, GRE и EoIP используют IP-протокол номер 47.
Примеры
ПРИМЕЧАНИЕ: Важно! На данный момент настройка туннелей IPIP, GRE и EoIP реализована через интерфейс командной строки (CLI) роутера. Полный синтаксис команд, перечисленных в этой статье, можно найти в Справочном руководстве по командам в Центре загрузки.
В следующих примерах показаны частные IP-адреса, которые можно использовать только в локальной сети. Для создания туннелей через Интернет на обоих концах туннелей должны быть общедоступные IP-адреса.
Настройка туннеля GRE/IPIP между двумя интернет-центрами Keenetic.
Пример 1.
Настройка одной стороны туннеля:На другом конце туннеля устанавливаются «зеркальные» настройки:
Затем вы можете попытаться пропинговать адрес удаленной стороны туннеля с любой стороны, чтобы проверить, правильно ли работает туннель.
Следует отметить, что в качестве пункта назначения можно указать либо доменное имя (Облачный режим в KeenDNS работать не будет!) либо IP-адрес удаленной стороны (WAN-интерфейс устройства).
Для GRE имя интерфейса — Gre0.
Пример 2.
Настройка одной стороны туннеля:По ту сторону туннеля:
Настройка туннеля EoIP между двумя интернет-центрами Keenetic.
В случае с туннелем EoIP настройки будут абсолютно такими же, за исключением двух моментов:
— можно указать MAC-адрес интерфейса;
— ID туннеля EoIP, идентификатор туннеля (номер в диапазоне от 1 до 65535) должен быть установлен, и он должен совпадать на обоих концах туннеля.Настройка одного конца туннеля:
Настройка "Зеркало" находится на другом конце туннеля.:
Затем вы можете попытаться пропинговать адрес удаленной стороны туннеля с любой стороны, чтобы проверить, правильно ли работает туннель.
Интерфейс EoIPx можно включить в мост для присоединения к локальным сетям. Для этого настройте интерфейс EoIP без IP-адреса с обеих сторон, а затем добавьте его в Bridge Home:
ПРИМЕЧАНИЕ: Важно! Для туннельных интерфейсов IPIP, GRE и EoIP значение MTU рассчитывается автоматически исходя из интерфейса, через который будет идти трафик, но его можно задать вручную через командный интерфейс ip mtu .
При подключении локальных сетей по протоколу EoIP туннеля, мы рекомендуем использовать статические IP-адреса, указанные вручную на хостах. Если клиенты настроены на автоматическое получение IP-адресов от DHCP-сервера, могут возникнуть проблемы с выделением IP-адресов после установки туннеля, поскольку DHCP-запросы будут направляться в туннель, т. е. в удаленную сеть.Использование туннелей IPIP, GRE и EoIP с IPSec
При установке специального системного компонента IPSec VPN возможна защита этих туннелей по стандартам безопасности IPSec как в автоматическом, так и в полностью ручном режиме. Мы не будем описывать ручной режим, потому что опытные пользователи могут настроить туннель IPSec с правильным режимом, а затем поднять туннель поверх IPSec.В случае автоматической настройки решается сразу несколько проблем ручного режима:
— значение MTU выставляется правильно;
— соединение становится коннекционно-ориентированным, и приходится выбирать, какой конец туннеля клиент, а какой конец сервер;
— автоматически решает проблему NAT pass-through, поскольку использует IPSec NAT Traversal (NAT-T), превращающий весь туннельный трафик в UDP-поток на порту 500/4500;
— используется шифрование и проверка целостности данных.Компонент IPSec VPN добавляет к туннелям следующие настройки:
interface ipsec preshared-key — PSK для шифрования;
interface ipsec encoding-level — уровень шифрования. По умолчанию он настроен на максимально возможное количество устройств и имеет аппаратное ускорение. Менять не нужно.Поскольку IPSec отделяет клиента от сервера, для настройки клиента (инициатора, стороны, которая попытается установить соединение) необходимо использовать командный интерфейс туннеля назначения, а для включения режима сервера (сторона, которая ответит на попытки подключения), необходимо использовать источник туннеля командного интерфейса .
Пример настройки туннеля EoIP с IPsec (в нашем примере сервером является сторона с WAN-адресом 8.6.5.4):
ПРИМЕЧАНИЕ: Важно! Предварительно общий ключ IPSec PSK должен совпадать на обоих концах туннеля.
В команде источника туннеля интерфейса вы можете указать как исходный интерфейс, так и IP-адрес, по которому сервер будет ожидать подключения. Однако предпочтение отдается интерфейсу, ведь в этом случае все перенастройки при смене адреса и прочие события будут происходить автоматически.
СОВЕТ. Ограничения. Туннели на основе EoIP/IPSec и GRE/IPSec несовместимы с подключениями PPTP из-за использования одного и того же протокола GRE. В этом случае доступен только один вариант: IPIP/IPsec.
Читайте также: