Setarea IPIP tuneluri, și eoip GRE - keenetic

Site-urile de acces la Internet seria Keenetic incepand cu versiunea sistemului de operare NDMS V2.08, o oportunitate de a crea tuneluri IPIP (IP over IP), GRE (Generic Routing încapsularea), EoIP (Ethernet over IP) ca o formă simplă, și în combinație cu tunel IPSec, care vor fi utilizate pentru a proteja aceste tuneluri standarde de securitate IPSec VPN.

Suport pentru tuneluri IPIP, GRE, EoIP centre Internet Keenetic vă permite să instalați VPN-conexiune cu gateway-uri hardware, Linux-routere, computere și c UNIX / Linux servere de sistem de operare, precum și c alte echipamente de rețea și de telecomunicații, cu sprijinul acestor tuneluri.

Pentru a lucra cu tunelurile necesare pentru a accesa setările site-ului să stabilească în continuare componentele corespunzătoare ale sistemului NDMS:
Tunelurile IP-IP (Permite crearea de tuneluri IP-over-IP);
Tunelurile sunt GRE (permite crearea de tuneluri GRE);
EoIP Tuneluri (Vă permite să creați tunele Ethernet over IP).

IPIP (IP over IP) este una dintre cele mai ușor de creat tuneluri (încapsulează numai unicast IPv4-trafic). Acesta poate fi configurat ca / ​​Linux sistem UNIX, și diferitele ruterele (de exemplu, Cisco).

GRE (Generic Routing încapsularea) tunel este una dintre cele mai populare tipuri de VPN. Rezumă trafic unicast / multicast IPv4 / IPv6. Principalul avantaj al GRE este capabil să transmită trafic de difuzare. Tunelele GRE sunt compatibile cu toate gateway-uri de securitate Seria Zyxel ZyWALL / USG, routere MikroTik, Linux-routere, precum și cu echipamente care este capabil să lucreze cu GRE (de exemplu, Cisco, Juniper, etc).

Tunnels IPIP, GRE și EoIP operează direct peste IPv4-protocol. IPIP foloseste numarul de IP-protocol 4, GRE și EoIP utilizare Număr IP-protocol 47.

În momentul de față, setarea tuneluri IPIP, GRE și EoIP puse în aplicare prin intermediul unui site de acces interfață linie de comandă (CLI).

GRE tunel de configurare / IPIP Keenetic între două centre de Internet.

Exemplul 1.
Configurarea la un capăt al tunelului:

(Config)> IPIP0 interfață
(Config-if)> tunel destinație router1.example.com
(Config-if)> adresa IP 192.168.100.1 255.255.255.0
(Config-if)> securitate la nivel privat
(Config-if)> sus

La celălalt capăt al tunelului sunt date de setare „în oglindă“:

(Config)> IPIP0 interfață
(Config-if)> tunel destinație 8.6.5.4
(Config-if)> adresa IP 192.168.100.2 255.255.255.0
(Config-if)> securitate la nivel privat
(Config-if)> sus

Pentru numele de interfață GRE va Gre0.

Exemplul 2.
Configurarea la un capăt al tunelului:

(Config)> IPIP0 interfață
(Config-if)> tunel destinație router1.example.com
(Config-if)> adresa IP 192.168.100.1 255.255.255.0
(Config-if)> sus
(Config-if)> no izolatul-privat
(Config-if)> ip route 10.10.2.0 255.255.255.0 IPIP0 ruta / * statică subrețea privată la distanță 10.10.2.0/24 prin tunel * /

La celălalt capăt al tunelului:

(Config)> IPIP0 interfață
(Config-if)> tunel destinație 8.6.5.4
(Config-if)> adresa IP 192.168.100.2 255.255.255.0
(Config-if)> sus
(Config-if)> no izolatul-privat
(Config-if)> ip route 10.10.1.0 255.255.255.0 IPIP0 ruta / * statică subrețea privată la distanță 10.10.1.0/24 prin tunel * /

configurare tunel EoIP între două centre de Internet Keenetic.

Configurarea la un capăt al tunelului:

(Config)> EoIP0 interfață
(Config-if)> tunel destinație router1.example.com
(Config-if)> tunel eoip id 1500
(Config-if)> adresa IP 192.168.100.1 255.255.255.0
(Config-if)> securitate la nivel privat
(Config-if)> sus

„Mirror“, setarea la celălalt capăt al tunelului:

(Config)> EoIP0 interfață
(Config-if)> tunel destinație 8.6.5.4
(Config-if)> tunel eoip id 1500
(Config-if)> adresa IP 192.168.100.2 255.255.255.0
(Config-if)> securitate la nivel privat
(Config-if)> sus

(Config)> interfață Acasă
(Config-if)> includ EoIP0

Atenție! Pentru interfețele IPIP tuneluri, GRE și valoarea EoIP MTU este calculată automat pe baza interfata prin care va trece de trafic, dar, de asemenea, este posibil să se stabilească mâinile și prin intermediul interfeței de comandă IP MTU

Folosind tunele IPIP, GRE și EoIP împreună cu IPSec

În cazul instalării oricărui sistem de operare componente NDMS IPSec VPN, devine posibilă protejarea acestor tuneluri, folosind standarde de securitate IPSec, atât în ​​automat și într-un mod complet manual. Modul manual nu va fi descrisă ca utilizatorii experimentați pot personaliza un tunel IPSec pentru modul corect, apoi ridicați peste tunel IPSec. În cazul ajustării automate se rezolvă mai multe probleme la modul manual o dată:
- expus în mod corect valoarea MTU;
- conexiunea devine-orientat pe conexiune, și trebuie să alegeți care unul dintre capetele tunelului devine un client și care este serverul;
- rezolvă problema în mod automat cu o trecere prin NAT, deoarece folosește IPSec NAT (NAT-T), în care întregul curent de trafic tunel este convertit în portul UDP la 500/4500;
- criptare și integritatea datelor de verificare utilizate.

componenta IPSec VPN, adaugă următoarea setare pentru tuneluri:

Interfață IPSec preshared-cheie - criptare PSK

interfață de criptare la nivel de IPSec - nivelul de criptare, implicit este setat astfel încât să acopere numărul maxim de dispozitive și accelerare hardware. Nu se poate schimba.

Deoarece IPSec separă de client și server, este acum să configurați clientul (inițiatorul partea care va încerca să stabilească o conexiune), trebuie să utilizați comanda de interfață tunel de destinație. și pentru a activa modul de server (partea care va răspunde la încercările de a stabili o conexiune), trebuie să utilizați comanda interfață sursă tunel.

(Config)> EoIP0 interfață
(Config-if)> sursa tunel ISP
(Config-if)> tunel eoip id 1500
(Config-if)> IPSec prepartajate-cheie mytestingkey
(Config-if)> adresa IP 192.168.100.1 255.255.255.0
(Config-if)> securitate la nivel privat
(Config-if)> sus

(Config)> EoIP0 interfață
(Config-if)> tunel destinație 8.6.5.4
(Config-if)> tunel eoip id 1500
(Config-if)> IPSec prepartajate-cheie mytestingkey
(Config-if)> adresa IP 192.168.100.2 255.255.255.0
(Config-if)> securitate la nivel privat
(Config-if)> sus

Atenție! Este necesar un meci prepartajate cheie IPSec PSK (prepartajate-cheie) la ambele capete ale tunelului.

Tunelurile pe baza EoIP / IPSec și GRE / incompatibile cu conexiunile PPTP IPSec, datorită utilizării aceluiași protocol de GRE. În acest caz, utilizarea este doar o singură opțiune disponibilă: IPIP / IPsec

Să acorde o atenție la opțiunea izolatul-privat
Între interfețe privată de conectare dezactivată în mod implicit, dar dacă este necesar, accesul poate fi activat. Dacă aveți nevoie pentru a permite conexiuni între interfețe, cum ar fi (de exemplu, accesul nu izola) privată pentru acest rula comanda
nici un izolat-privat

Clienții care ia în considerare acest material util: 3 din 3