Embed Size (px)
Citation preview
GRE tunel
APLIKACNÍ PRÍRUCKA
POUŽITÉ SYMBOLY
Použité symbolyNebezpecí – duležité upozornení, které muže mít vliv na bezpecí osoby nebo funkcnostprístroje.
Pozor – upozornení na možné problémy, ke kterým muže dojít ve specifických prípadech.
Informace, poznámka – informace, které obsahují užitecné rady, nebo zajímavé poznámky.
Conel s.r.o., Sokolská 71, 562 04 Ústi nad Orlicí, Ceská Republika
Prírucka byla vydána v CR, 17. ríjna 2014
i
OBSAH
Obsah
1 Protokol GRE 1
2 Konfigurace GRE tunelu 2
3 Príklady konfigurace GRE tunelu 4
3.1 GRE tunel mezi dvema Conel routery . . . . . . . . . . . . . . . . . . . . . . . 43.2 GRE tunel mezi Conel routerem a OS Linux . . . . . . . . . . . . . . . . . . . . 63.3 GRE tunel mezi Conel routerem a Cisco routerem . . . . . . . . . . . . . . . . 83.4 GRE tunel v IPsec tunelu (GRE over IPsec) . . . . . . . . . . . . . . . . . . . . 9
4 Doporucená literatura 13
ii
SEZNAM OBRÁZKU
Seznam obrázku1 Vlevo – princip GRE tunelu. Vpravo – zapouzdrení probíhá v sít’ové vrstve,
príklad zapouzdrení IPv6 paketu pro prenos pres IPv4 sít’. . . . . . . . . . . . . 12 Prehled GRE tunelu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Konfigurace GRE tunelu (po kliknutí na Edit) . . . . . . . . . . . . . . . . . . . 24 Topologie príkladu konfigurace GRE tunelu mezi Conel routery . . . . . . . . . 45 Router A (modrá sít’) – konfigurace GRE tunelu . . . . . . . . . . . . . . . . . . 46 Router B (cervená sít’) – konfigurace GRE tunelu . . . . . . . . . . . . . . . . . 57 Network Status – sít’ové rozhraní gre1 . . . . . . . . . . . . . . . . . . . . . . . 58 Program ping pres sít’ové rozhraní gre1 . . . . . . . . . . . . . . . . . . . . . . 69 Program tcpdump pro zachytávání paketu – overení GRE komunikace . . . . . 610 Príklad – GRE tunel mezi Conel routerem a OS Linux . . . . . . . . . . . . . . 611 Nastavení GRE tunelu v Conel routeru . . . . . . . . . . . . . . . . . . . . . . . 712 Príklad – GRE tunel mezi Conel routerem a Cisco routerem . . . . . . . . . . . 813 Router B (cervená sít’) – konfigurace GRE tunelu . . . . . . . . . . . . . . . . . 814 Program ping pres sít’ové rozhraní gre1 . . . . . . . . . . . . . . . . . . . . . . 915 Topologie príkladu GRE over IPsec . . . . . . . . . . . . . . . . . . . . . . . . . 916 Router A – konfigurace IPsec (položka IPsec v sekci Customization) . . . . . . 1017 Router A – konfigurace GRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1018 Router B – konfigurace IPsec (položka IPsec v sekci Customization) . . . . . . 1119 Router B – konfigurace GRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1120 Router B – IPsec Status, tunel sestaven (established) . . . . . . . . . . . . . . 1221 Router B – ESP pakety zachycené programem tcpdump . . . . . . . . . . . . . 12
iii
SEZNAM TABULEK
Seznam tabulek1 Prehled GRE tunelu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Konfigurace GRE tunelu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
iv
1. PROTOKOL GRE
1. Protokol GRE
GRE – Generic Routing Encapsulation (obecné zapouzdrení pri smerování) – je jednoduchýtunelovací protokol vyvinutý firmou Cisco Systems. Tento protokol umí zapouzdrit širokouškálu protokolu sít’ové vrstvy uvnitr virtuálního prímého spojení (GRE tunelu) pres IP pro-tokol (internet). Takovýto GRE tunel vytvárí propojení dvou sítí LAN do jedné, která se zevnitrtvárí jako homogenní. Použitím GRE tunelu je možné posílat pakety z jedné síte do druhé tak,že nejsou po ceste mezilehlými routery vyhodnocovány jako IP pakety.
GRE funguje tak, že zapouzdruje užitecná data – vnitrní paket urcený k dorucení dovzdálené síte – do vnejšího paketu. Tento je poslán skrze GRE tunel, mezilehlé routery jejsmerují jako vnejší paket, takže jej predají do cílové síte, kde je vnejší paket odebrán a puvodnípaket je smerován k cíli urcení. Na rozdíl od IP-to-IP tunelu, GRE tunel muže sloužit k prenosumulticastu a IPv6 paketu mezi propojenými sítemi.
Obrázek 1: Vlevo – princip GRE tunelu. Vpravo – zapouzdrení probíhá v sít’ové vrstve, príkladzapouzdrení IPv6 paketu pro prenos pres IPv4 sít’.
Výhody GRE protokolu: Zapouzdrení mnoha ruzných protokolu do jediného páterního pro-tokolu, rešení pro síte s omezeným poctem skoku, propojení podsítí v ruzných oddelenýchoblastech do jediné, možnosti VPN (Virtual Private Network).
Príklady využití GRE protokolu: Ve spolupráci s protokolem PPTP lze vytvorit VPN, vespolupráci s VPN pomocí IPsec lze predávat smerovací informace mezi propojenými sítemi,využití v Mobility protokolech, možnost vytvorení ad-hoc GRE tunelu z Linuxu ci BSD pro IPkomunikaci s Cisco zarízeními a další.
Protokol GRE poskytuje bezestavové privátní spojení, není však šifrovaným (zabezpeceným)protokolem, protože nepoužívá šifrování jako napr. ESP (Encapsulating Security Payload)u protokolu IPsec. Protokol GRE je popsán ve specifikacích RFC 2784 a RFC 2890. V IPzáhlaví je v poli Protocol oznacen císlem 47.
1
2. KONFIGURACE GRE TUNELU
2. Konfigurace GRE tunelu
Router umožnuje vytvorit až ctyri GRE tunely, jejichž konfiguraci je možné vyvolat volboupoložky GRE v menu, sekce Configuration. V okne GRE Tunnels Configuration jsou ctyrirádky, pricemž každý rádek odpovídá konfiguraci jednoho tunelu.
Položka PopisCreate Vytvorit – tato položka zapíná jednotlivé tunely.Description Popis – tato položka zobrazuje název tunelu, zadaný v konfiguraci tunelu.Edit Upravit – konfigurace GRE tunelu.
Tabulka 1: Prehled GRE tunelu
Obrázek 2: Prehled GRE tunelu
Obrázek 3: Konfigurace GRE tunelu (po kliknutí na Edit)
Na obrázku 3 jsou videt možnosti nastavení pro každý ze ctyr GRE tunelu. Tunel lze ak-tivovat zaškrtnutím položky Create 1st GRE tunnel (ekvivalentní s položkou Create o úrovenvýše, na obr. 2). Jednotlivé položky nastavení popisuje následující tabulka:
2
2. KONFIGURACE GRE TUNELU
Položka PopisDescription Popis - volitelný název tunelu, zobrazuje se pak o úroven výše,
v prehledu tunelu (obr. 2)Remote IP Address IP adresa protejší (vzdálené) strany tuneluRemote Subnet Adresa síte za protejší stranou tuneluRemote Subnet Mask Maska síte za protejší stranou tuneluLocal Interface IPAddress
Interní IP adresa lokální strany tunelu
Remote Interface IPAddress
Interní IP adresa protejší strany tunelu
Multicasts Povoluje, resp. zakazuje multicast:
• disabled – multicast zakázán
• enabled – multicast povolen
Pre-shared Key Volitelná položka, která definuje 32 bit sdílený klíc v císelnémformátu, pomocí kterého se filtrují data procházející tunelem.Tento klíc musí být na obou routerech definován stejne, jinakbude router zahazovat prijaté pakety. Pomocí tohoto klíce se nez-abezpecují data procházející tunelem.
Tabulka 2: Konfigurace GRE tunelu
Pozor, GRE tunel neprojde pres preklad adres NAT. Potrebujete-li vytvorit tunel kterýprojde pres NAT, použijte IP-to-IP tunel (IP pakety zapouzdreny do jiných IP paketu) neboIPsec tunel (šifrovaný tunel a následný transport pomocí GRE protokolu).
Všechny zmeny v nastavení se projeví až po stisknutí tlacítka Apply.
3
3. PRÍKLADY KONFIGURACE GRE TUNELU
3. Príklady konfigurace GRE tunelu
3.1 GRE tunel mezi dvema Conel routery
Obrázek 4: Topologie príkladu konfigurace GRE tunelu mezi Conel routery
Tento príklad ukazuje, jakým zpusobem je možné pomocí GRE tunelu propojit dve LANsíte. Výchozí branou pro zarízení v modré síti bude router A (192.168.1.1), pro zarízení v cer-vené síti to bude router B (192.168.2.1). Parametry GRE tunelu na obou routerech budounastaveny podle následujících obrázku:
Obrázek 5: Router A (modrá sít’) – konfigurace GRE tunelu
4
3. PRÍKLADY KONFIGURACE GRE TUNELU
Obrázek 6: Router B (cervená sít’) – konfigurace GRE tunelu
Po aktivaci GRE tunelu se na obou routerech v sekci Status pod položkou Network objevínové sít’ové rozhraní „gre1“ – viz obrázek:
Obrázek 7: Network Status – sít’ové rozhraní gre1
5
3. PRÍKLADY KONFIGURACE GRE TUNELU
Nyní by již melo být spojení mezi sítemi pres GRE tunel funkcní. Overit jej lze napríkladpomocí programu ping po prihlášení pres SSH do jednoho z routeru. Na obr. 14 je konzolerouteru B (192.168.2.1), v níž je zobrazen príkaz programu ping a výsledek. Prepínac -c nas-tavuje pocet ping požadavku, prepínac -I potom udává práve rozhraní použité gre1.
Obrázek 8: Program ping pres sít’ové rozhraní gre1
Overení, že komunikace probíhá v protokolu GRE je možné napr. spuštením programutcpdump na zachytávání paketu na jednom z routeru, viz vyznacený rádek na následujícímobrázku. Zde program tcpdump spušten s prepínacem -i pro výber sít’ového rozhraní (ppp0pro sledování Mobile WAN komunikace, která na tomto rozhraní probíhá).
Obrázek 9: Program tcpdump pro zachytávání paketu – overení GRE komunikace
3.2 GRE tunel mezi Conel routerem a OS Linux
Zde je uveden príklad vytvorení GRE tunelu mezi Conel routerem a OS Linux. Protože i naConel routeru beží Linux, je tento prípad velmi jednoduchý.
Obrázek 10: Príklad – GRE tunel mezi Conel routerem a OS Linux
6
3. PRÍKLADY KONFIGURACE GRE TUNELU
Pro IP adresy podle predchozího obrázku je nutné nastavit GRE tunel v Conel routerunásledujícím zpusobem:
Obrázek 11: Nastavení GRE tunelu v Conel routeru
V OS Linux si potom pustíme terminál a následujícím zpusobem vytvoríme GRE tunel. Ne-jprve je dobré is overit, že modul, který GRE tunelování umnožnuje, je soucástí jádra systému.To je možné overit následujícími príkazy:
$ sudo modprobe ip_gre$ lsmod | grep gre
V prípade prítomnosti modulu v jádre jsou vypsány napr. následující rádky:
ip_gre 22432 0gre 12989 1 ip_gre
Nyní je již možné vytvorit samotný GRE tunel následujícími príkazy:
$ sudo ip tunnel add gre1 mode gre remote 10.40.28.64 local 10.40.28.127 ttl255$ sudo ip link set gre1 up$ sudo ip addr add 10.10.10.124 dev gre1
Vytvorení tunelu je možné overit vypsáním smerovací tabulky príkazem ip route show.Jsou videt smerovací pravidla pro nove vytvorené sít’ové rozhraní gre1. Také po spušteníprogramu ifconfig, který vypíše informace o sít’ových zarízeních, je nove vytvorené rozhranízobrazeno. Pro vypnutí a smazání tunelu je možné použít následující príkazy:
$ sudo ip link set gre1 down$ sudo ip tunnel del gre1
Výše uvedené príkazy je možno používat pro vytvorení GRE tunelu i v Conel routeru (napr.pres SSH), protože jeho operacním systémem je také Linux a program ip je v routeru takék dispozici, viz prírucka Commands and Scripts.
7
3. PRÍKLADY KONFIGURACE GRE TUNELU
3.3 GRE tunel mezi Conel routerem a Cisco routerem
Následuje príklad vytvorení GRE tunelu mezi Conel routerem a Cisco. Zapojení a nas-tavení adres dle obrázku níže:
Obrázek 12: Príklad – GRE tunel mezi Conel routerem a Cisco routerem
V Conel routeru je nutné provést nastavení následujícím zpusobem:
Obrázek 13: Router B (cervená sít’) – konfigurace GRE tunelu
Po prihlášení do konzole Cisco routeru (napr. telnet, sériová linka), je treba vstoupit do kon-figuracního terminálu príkazem config terminal. Potom je možné vytvorit GRE tunel násle-dujícími príkazy:
Router(config)# interface Tunnel0Router(config-if)# ip address 10.20.30.1 255.255.255.0Router(config-if)# tunnel source 10.40.28.89Router(config-if)# tunnel destination 10.40.28.64Router(config-if)# end
Prípadne je možné upravit maximální délku paketu, aby nedocházelo k casté zbytecnéfragmentaci a pridat smerovací cestu pro stanice pripojené za routerem (napr. v síti 192.168.1.0).
Router(config-if)# ip mtu 1400Router(config-if)# ip tcp adjust-mss 1360Router(config)# ip route 192.168.1.0 255.255.255.0 10.20.30.1
8
3. PRÍKLADY KONFIGURACE GRE TUNELU
Nastavení je možné overit príkazem show running-config (již mimo konfiguracní ter-minál), který vypíše stávající konfiguraci Cisco routeru. U rozhraní Tunnel0 by mely být uve-deny výše nastavené adresy. Pro podrobnejší nastavení viz Cisco dokumentaci k príslušnémuCisco routeru.
Nyní by mel fungovat program ping s úspešným výsledkem (z Cisco routeru na Conelrouter pres GRE tunel – na adresu 10.20.30.2 nebo naopak). Overit zapouzdrení do GREprotokolu je možné napríklad tak, že z konzole Cisco routeru se pres telnet a pres GREtunel pripojíme na Conel router (telnet 10.20.30.2) a zde spustíme program tcpdump prozachytávání paketu. Veškeré zachycené pakety budou mít oznacení GRE protokolu – viznásledující obrázek.
Obrázek 14: Program ping pres sít’ové rozhraní gre1
3.4 GRE tunel v IPsec tunelu (GRE over IPsec)
Príklad vytvorení GRE tunelu v IPsec tunelu – šifrované spojení, které umožnuje i prenossmerovacích protokolu a tím predávání smerovacích informací mezi propojenými sítemi.
Obrázek 15: Topologie príkladu GRE over IPsec
Pro GRE spojení uvnitr IPsec je nutné nastavit IPsec spojení a také GRE spojení u obourouteru. Na následujících obrázcích je nastavení IPsec a GRE routeru A a B pro uvedenoutopologii príkladu.
9
3. PRÍKLADY KONFIGURACE GRE TUNELU
Obrázek 16: Router A – konfigurace IPsec (položka IPsec v sekci Customization)
Obrázek 17: Router A – konfigurace GRE
10
3. PRÍKLADY KONFIGURACE GRE TUNELU
Obrázek 18: Router B – konfigurace IPsec (položka IPsec v sekci Customization)
Obrázek 19: Router B – konfigurace GRE
11
3. PRÍKLADY KONFIGURACE GRE TUNELU
V prípade správného nastavení bude u obou routeru v sekci Status pod položkou IPsec(nebo také v System Log) vypsána informace o úspešném navázání IPsec tunelu (estab-lished).
Obrázek 20: Router B – IPsec Status, tunel sestaven (established)
Šifrování GRE tunelu pomocí IPsec lze overit po prihlášení pres telnet nebo SSH do ter-minálu obou routeru. Napr. na routeru B spustíme program tcpdump s parametry pro vyfil-torvání pouze protokolu ESP (IPsec): tcpdump -s0 protochain 50. Z konzole routeru A sepotom opet pres telnet nebo SSH prihlásíme na router B a to pres GRE tunel – tedy naadresu 10.20.30.2 – aby sledovaná komunikace probíhala pres GRE tunel. Pri psaní do kon-zole routeru A by mel nyní spuštený program tcpdump na routeru B zachytávat šifrované ESPpakety, takže komunikace pres GRE tunel probíhá zároven šifrovane pres IPsec.
Obrázek 21: Router B – ESP pakety zachycené programem tcpdump
12
4. DOPORUCENÁ LITERATURA
4. Doporucená literatura
[1] Conel: Konfiguracní manuál pro v2 routery[2] Conel: Konfiguracní manuál pro v3 routery
13
