GREtunel Aplikační příručka

GRE tunel
APLIKAČNÍ PŘÍRUČKA
POUŽITÉ SYMBOLY
Použité symboly
Nebezpečí – důležité upozornění, které může mít vliv na bezpečí osoby nebo funkčnost
přístroje.
Pozor – upozornění na možné problémy, ke kterým může dojít ve specifických případech.
Informace, poznámka – informace, které obsahují užitečné rady, nebo zajímavé poznámky.
Conel s.r.o., Sokolská 71, 562 04 Ústi nad Orlicí, Česká Republika
Příručka byla vydána v ČR, 17. října 2014
i
OBSAH
Obsah
1 Protokol GRE
1
2 Konfigurace GRE tunelu
2
3 Příklady konfigurace GRE tunelu
4
3.1
3.2
3.3
3.4
GRE tunel mezi dvěma Conel routery . . . . . . .
GRE tunel mezi Conel routerem a OS Linux . . . .
GRE tunel mezi Conel routerem a Cisco routerem
GRE tunel v IPsec tunelu (GRE over IPsec) . . . .
4 Doporučená literatura
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
4
6
8
9
13
ii
SEZNAM OBRÁZKŮ
Seznam obrázků
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Vlevo – princip GRE tunelu. Vpravo – zapouzdření probíhá v sít’ové vrstvě,
příklad zapouzdření IPv6 paketů pro přenos přes IPv4 sít’. . . . . . . . . . . . .
Přehled GRE tunelů . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurace GRE tunelu (po kliknutí na Edit) . . . . . . . . . . . . . . . . . . .
Topologie příkladu konfigurace GRE tunelu mezi Conel routery . . . . . . . . .
Router A (modrá sít’) – konfigurace GRE tunelu . . . . . . . . . . . . . . . . . .
Router B (červená sít’) – konfigurace GRE tunelu . . . . . . . . . . . . . . . . .
Network Status – sít’ové rozhraní gre1 . . . . . . . . . . . . . . . . . . . . . . .
Program ping přes sít’ové rozhraní gre1 . . . . . . . . . . . . . . . . . . . . . .
Program tcpdump pro zachytávání paketů – ověření GRE komunikace . . . . .
Příklad – GRE tunel mezi Conel routerem a OS Linux . . . . . . . . . . . . . .
Nastavení GRE tunelu v Conel routeru . . . . . . . . . . . . . . . . . . . . . . .
Příklad – GRE tunel mezi Conel routerem a Cisco routerem . . . . . . . . . . .
Router B (červená sít’) – konfigurace GRE tunelu . . . . . . . . . . . . . . . . .
Program ping přes sít’ové rozhraní gre1 . . . . . . . . . . . . . . . . . . . . . .
Topologie příkladu GRE over IPsec . . . . . . . . . . . . . . . . . . . . . . . . .
Router A – konfigurace IPsec (položka IPsec v sekci Customization) . . . . . .
Router A – konfigurace GRE . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Router B – konfigurace IPsec (položka IPsec v sekci Customization) . . . . . .
Router B – konfigurace GRE . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Router B – IPsec Status, tunel sestaven (established) . . . . . . . . . . . . . .
Router B – ESP pakety zachycené programem tcpdump . . . . . . . . . . . . .
iii
1
2
2
4
4
5
5
6
6
6
7
8
8
9
9
10
10
11
11
12
12
SEZNAM TABULEK
Seznam tabulek
1
2
Přehled GRE tunelů . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurace GRE tunelu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
iv
2
3
1. PROTOKOL GRE
1. Protokol GRE
GRE – Generic Routing Encapsulation (obecné zapouzdření při směrování) – je jednoduchý
tunelovací protokol vyvinutý firmou Cisco Systems. Tento protokol umí zapouzdřit širokou
škálu protokolů sít’ové vrstvy uvnitř virtuálního přímého spojení (GRE tunelu) přes IP protokol (internet). Takovýto GRE tunel vytváří propojení dvou sítí LAN do jedné, která se zevnitř
tváří jako homogenní. Použitím GRE tunelu je možné posílat pakety z jedné sítě do druhé tak,
že nejsou po cestě mezilehlými routery vyhodnocovány jako IP pakety.
GRE funguje tak, že zapouzdřuje užitečná data – vnitřní paket určený k doručení do
vzdálené sítě – do vnějšího paketu. Tento je poslán skrze GRE tunel, mezilehlé routery jej
směrují jako vnější paket, takže jej předají do cílové sítě, kde je vnější paket odebrán a původní
paket je směrován k cíli určení. Na rozdíl od IP-to-IP tunelu, GRE tunel může sloužit k přenosu
multicastu a IPv6 paketů mezi propojenými sítěmi.
Obrázek 1: Vlevo – princip GRE tunelu. Vpravo – zapouzdření probíhá v sít’ové vrstvě, příklad
zapouzdření IPv6 paketů pro přenos přes IPv4 sít’.
Výhody GRE protokolu: Zapouzdření mnoha různých protokolů do jediného páteřního protokolu, řešení pro sítě s omezeným počtem skoků, propojení podsítí v různých oddělených
oblastech do jediné, možnosti VPN (Virtual Private Network).
Příklady využití GRE protokolu: Ve spolupráci s protokolem PPTP lze vytvořit VPN, ve
spolupráci s VPN pomocí IPsec lze předávat směrovací informace mezi propojenými sítěmi,
využití v Mobility protokolech, možnost vytvoření ad-hoc GRE tunelů z Linuxu či BSD pro IP
komunikaci s Cisco zařízeními a další.
Protokol GRE poskytuje bezestavové privátní spojení, není však šifrovaným (zabezpečeným)
protokolem, protože nepoužívá šifrování jako např. ESP (Encapsulating Security Payload)
u protokolu IPsec. Protokol GRE je popsán ve specifikacích RFC 2784 a RFC 2890. V IP
záhlaví je v poli Protocol označen číslem 47.
1
2. KONFIGURACE GRE TUNELU
2. Konfigurace GRE tunelu
Router umožňuje vytvořit až čtyři GRE tunely, jejichž konfiguraci je možné vyvolat volbou
položky GRE v menu, sekce Configuration. V okně GRE Tunnels Configuration jsou čtyři
řádky, přičemž každý řádek odpovídá konfiguraci jednoho tunelu.
Položka
Create
Description
Edit
Popis
Vytvořit – tato položka zapíná jednotlivé tunely.
Popis – tato položka zobrazuje název tunelu, zadaný v konfiguraci tunelu.
Upravit – konfigurace GRE tunelu.
Tabulka 1: Přehled GRE tunelů
Obrázek 2: Přehled GRE tunelů
Obrázek 3: Konfigurace GRE tunelu (po kliknutí na Edit)
Na obrázku 3 jsou vidět možnosti nastavení pro každý ze čtyř GRE tunelů. Tunel lze aktivovat zaškrtnutím položky Create 1st GRE tunnel (ekvivalentní s položkou Create o úroveň
výše, na obr. 2). Jednotlivé položky nastavení popisuje následující tabulka:
2
2. KONFIGURACE GRE TUNELU
Položka
Description
Remote IP Address
Remote Subnet
Remote Subnet Mask
Local Interface IP
Address
Remote Interface IP
Address
Multicasts
Popis
Popis - volitelný název tunelu, zobrazuje se pak o úroveň výše,
v přehledu tunelů (obr. 2)
IP adresa protější (vzdálené) strany tunelu
Adresa sítě za protější stranou tunelu
Maska sítě za protější stranou tunelu
Interní IP adresa lokální strany tunelu
Interní IP adresa protější strany tunelu
Povoluje, resp. zakazuje multicast:
• disabled – multicast zakázán
• enabled – multicast povolen
Pre-shared Key
Volitelná položka, která definuje 32 bit sdílený klíč v číselném
formátu, pomocí kterého se filtrují data procházející tunelem.
Tento klíč musí být na obou routerech definován stejně, jinak
bude router zahazovat přijaté pakety. Pomocí tohoto klíče se nezabezpečují data procházející tunelem.
Tabulka 2: Konfigurace GRE tunelu
Pozor, GRE tunel neprojde přes překlad adres NAT. Potřebujete-li vytvořit tunel který
projde přes NAT, použijte IP-to-IP tunel (IP pakety zapouzdřeny do jiných IP paketů) nebo
IPsec tunel (šifrovaný tunel a následný transport pomocí GRE protokolu).
Všechny změny v nastavení se projeví až po stisknutí tlačítka Apply.
3
3. PŘÍKLADY KONFIGURACE GRE TUNELU
3. Příklady konfigurace GRE tunelu
3.1
GRE tunel mezi dvěma Conel routery
Obrázek 4: Topologie příkladu konfigurace GRE tunelu mezi Conel routery
Tento příklad ukazuje, jakým způsobem je možné pomocí GRE tunelu propojit dvě LAN
sítě. Výchozí branou pro zařízení v modré síti bude router A (192.168.1.1), pro zařízení v červené síti to bude router B (192.168.2.1). Parametry GRE tunelu na obou routerech budou
nastaveny podle následujících obrázků:
Obrázek 5: Router A (modrá sít’) – konfigurace GRE tunelu
4
3. PŘÍKLADY KONFIGURACE GRE TUNELU
Obrázek 6: Router B (červená sít’) – konfigurace GRE tunelu
Po aktivaci GRE tunelu se na obou routerech v sekci Status pod položkou Network objeví
nové sít’ové rozhraní „gre1“ – viz obrázek:
Obrázek 7: Network Status – sít’ové rozhraní gre1
5
3. PŘÍKLADY KONFIGURACE GRE TUNELU
Nyní by již mělo být spojení mezi sítěmi přes GRE tunel funkční. Ověřit jej lze například
pomocí programu ping po přihlášení přes SSH do jednoho z routerů. Na obr. 14 je konzole
routeru B (192.168.2.1), v níž je zobrazen příkaz programu ping a výsledek. Přepínač -c nastavuje počet ping požadavků, přepínač -I potom udává právě rozhraní použité gre1.
Obrázek 8: Program ping přes sít’ové rozhraní gre1
Ověření, že komunikace probíhá v protokolu GRE je možné např. spuštěním programu
tcpdump na zachytávání paketů na jednom z routerů, viz vyznačený řádek na následujícím
obrázku. Zde program tcpdump spuštěn s přepínačem -i pro výběr sít’ového rozhraní (ppp0
pro sledování Mobile WAN komunikace, která na tomto rozhraní probíhá).
Obrázek 9: Program tcpdump pro zachytávání paketů – ověření GRE komunikace
3.2
GRE tunel mezi Conel routerem a OS Linux
Zde je uveden příklad vytvoření GRE tunelu mezi Conel routerem a OS Linux. Protože i na
Conel routeru běží Linux, je tento případ velmi jednoduchý.
Obrázek 10: Příklad – GRE tunel mezi Conel routerem a OS Linux
6
3. PŘÍKLADY KONFIGURACE GRE TUNELU
Pro IP adresy podle předchozího obrázku je nutné nastavit GRE tunel v Conel routeru
následujícím způsobem:
Obrázek 11: Nastavení GRE tunelu v Conel routeru
V OS Linux si potom pustíme terminál a následujícím způsobem vytvoříme GRE tunel. Nejprve je dobré is ověřit, že modul, který GRE tunelování umnožňuje, je součástí jádra systému.
To je možné ověřit následujícími příkazy:
$ sudo modprobe ip_gre
$ lsmod | grep gre
V případě přítomnosti modulu v jádře jsou vypsány např. následující řádky:
ip_gre
gre
22432 0
12989 1 ip_gre
Nyní je již možné vytvořit samotný GRE tunel následujícími příkazy:
$ sudo ip tunnel add gre1 mode gre remote 10.40.28.64 local 10.40.28.127 ttl
255
$ sudo ip link set gre1 up
$ sudo ip addr add 10.10.10.124 dev gre1
Vytvoření tunelu je možné ověřit vypsáním směrovací tabulky příkazem ip route show.
Jsou vidět směrovací pravidla pro nově vytvořené sít’ové rozhraní gre1. Také po spuštění
programu ifconfig, který vypíše informace o sít’ových zařízeních, je nově vytvořené rozhraní
zobrazeno. Pro vypnutí a smazání tunelu je možné použít následující příkazy:
$ sudo ip link set gre1 down
$ sudo ip tunnel del gre1
Výše uvedené příkazy je možno používat pro vytvoření GRE tunelu i v Conel routeru (např.
přes SSH), protože jeho operačním systémem je také Linux a program ip je v routeru také
k dispozici, viz příručka Commands and Scripts.
7
3. PŘÍKLADY KONFIGURACE GRE TUNELU
3.3
GRE tunel mezi Conel routerem a Cisco routerem
Následuje příklad vytvoření GRE tunelu mezi Conel routerem a Cisco. Zapojení a nastavení adres dle obrázku níže:
Obrázek 12: Příklad – GRE tunel mezi Conel routerem a Cisco routerem
V Conel routeru je nutné provést nastavení následujícím způsobem:
Obrázek 13: Router B (červená sít’) – konfigurace GRE tunelu
Po přihlášení do konzole Cisco routeru (např. telnet, sériová linka), je třeba vstoupit do konfiguračního terminálu příkazem config terminal. Potom je možné vytvořit GRE tunel následujícími příkazy:
Router(config)# interface Tunnel0
Router(config-if)# ip address 10.20.30.1 255.255.255.0
Router(config-if)# tunnel source 10.40.28.89
Router(config-if)# tunnel destination 10.40.28.64
Router(config-if)# end
Případně je možné upravit maximální délku paketu, aby nedocházelo k časté zbytečné
fragmentaci a přidat směrovací cestu pro stanice připojené za routerem (např. v síti 192.168.1.0).
Router(config-if)# ip mtu 1400
Router(config-if)# ip tcp adjust-mss 1360
Router(config)# ip route 192.168.1.0 255.255.255.0 10.20.30.1
8
3. PŘÍKLADY KONFIGURACE GRE TUNELU
Nastavení je možné ověřit příkazem show running-config (již mimo konfigurační terminál), který vypíše stávající konfiguraci Cisco routeru. U rozhraní Tunnel0 by měly být uvedeny výše nastavené adresy. Pro podrobnější nastavení viz Cisco dokumentaci k příslušnému
Cisco routeru.
Nyní by měl fungovat program ping s úspěšným výsledkem (z Cisco routeru na Conel
router přes GRE tunel – na adresu 10.20.30.2 nebo naopak). Ověřit zapouzdření do GRE
protokolu je možné například tak, že z konzole Cisco routeru se přes telnet a přes GRE
tunel připojíme na Conel router (telnet 10.20.30.2) a zde spustíme program tcpdump pro
zachytávání paketů. Veškeré zachycené pakety budou mít označení GRE protokolu – viz
následující obrázek.
Obrázek 14: Program ping přes sít’ové rozhraní gre1
3.4
GRE tunel v IPsec tunelu (GRE over IPsec)
Příklad vytvoření GRE tunelu v IPsec tunelu – šifrované spojení, které umožňuje i přenos
směrovacích protokolů a tím předávání směrovacích informací mezi propojenými sítěmi.
Obrázek 15: Topologie příkladu GRE over IPsec
Pro GRE spojení uvnitř IPsec je nutné nastavit IPsec spojení a také GRE spojení u obou
routerů. Na následujících obrázcích je nastavení IPsec a GRE routerů A a B pro uvedenou
topologii příkladu.
9
3. PŘÍKLADY KONFIGURACE GRE TUNELU
Obrázek 16: Router A – konfigurace IPsec (položka IPsec v sekci Customization)
Obrázek 17: Router A – konfigurace GRE
10
3. PŘÍKLADY KONFIGURACE GRE TUNELU
Obrázek 18: Router B – konfigurace IPsec (položka IPsec v sekci Customization)
Obrázek 19: Router B – konfigurace GRE
11
3. PŘÍKLADY KONFIGURACE GRE TUNELU
V případě správného nastavení bude u obou routerů v sekci Status pod položkou IPsec
(nebo také v System Log) vypsána informace o úspěšném navázání IPsec tunelu (established).
Obrázek 20: Router B – IPsec Status, tunel sestaven (established)
Šifrování GRE tunelu pomocí IPsec lze ověřit po přihlášení přes telnet nebo SSH do terminálů obou routerů. Např. na routeru B spustíme program tcpdump s parametry pro vyfiltorvání pouze protokolu ESP (IPsec): tcpdump -s0 protochain 50. Z konzole routeru A se
potom opět přes telnet nebo SSH přihlásíme na router B a to přes GRE tunel – tedy na
adresu 10.20.30.2 – aby sledovaná komunikace probíhala přes GRE tunel. Při psaní do konzole routeru A by měl nyní spuštěný program tcpdump na routeru B zachytávat šifrované ESP
pakety, takže komunikace přes GRE tunel probíhá zároveň šifrovaně přes IPsec.
Obrázek 21: Router B – ESP pakety zachycené programem tcpdump
12
4. DOPORUČENÁ LITERATURA
4. Doporučená literatura
[1]
[2]
Conel:
Conel:
Konfigurační manuál pro v2 routery
Konfigurační manuál pro v3 routery
13