GRE

Posted by svm on 8 December 2018, 12:01 pm

Протокол GRE создавался компанией Cisco Systems для организации сетевых тунелей. И хотя в настоящее время GRE теряет актуальность, так как не поддерживает шифрование и не работает через NAT, в случае необходимости быстрой организации туннеля между двумя локальными сетями именно GRE будет в числе самых простых вариантов.

Два маршрутизатора (Net-R0 и Net-R2) на базе Linux CentOS 7 с такими вводными:

Net-R0:

WAN enp0s3 192.168.113.63
LAN enp0s8 10.0.0.1
GRE 172.17.254.1

Net-R2:

WAN enp0s3 192.168.113.65
LAN enp0s8 172.16.8.1 
GRE 172.17.254.2

Поднять тонель и получить доступ к внутренним сетям.

# sysctl net.ipv4.ip_forward=1

Net-R0 (Host1)

# cat ifcfg-gre1
DEVICE=gre1
BOOTPROTO=none
ONBOOT=no
TYPE=GRE

## Addr Srv Net-R0
MY_OUTER_IPADDR=192.168.113.63
MY_INNER_IPADDR=172.17.254.1

PEER_OUTER_IPADDR=192.168.113.65
PEER_INNER_IPADDR=172.17.254.2

# cat route-gre1
172.16.8.0/24 via 172.17.254.2 dev gre1

Net-R2 (Host2)

# cat ifcfg-gre1
DEVICE=gre1
BOOTPROTO=none
ONBOOT=no
TYPE=GRE

## Addr Srv Net-R2
MY_OUTER_IPADDR=192.168.113.65
## Addr Srv in a tonnel 
MY_INNER_IPADDR=172.17.254.2

# Addr Peer (other side Net-R0)
PEER_OUTER_IPADDR=192.168.113.63
PEER_INNER_IPADDR=172.17.254.1

# cat route-gre1
10.0.0.0/24 via 172.17.254.1 dev gre1

Firewall

# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
# firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT 0 -p gre -j ACCEPT
# firewall-cmd --reload

Iptables

# iptables -I INPUT -p gre -j ACCEPT

Проверяем:

[root@Net-R2]# ping 10.0.0.1

[root@net-r0]# tcpdump -envvn proto gre
tcpdump: listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
14:37:45.776948 08:00:27:5b:03:19 > 08:00:27:5c:5e:08, ethertype IPv4 (0x0800), length 122: (tos 0x0, ttl 64, id 761, offset 0, flags [DF], proto GRE (47), length 108)
   192.168.113.65 > 192.168.113.63: GREv0, Flags [none], proto IPv4 (0x0800), length 88
   (tos 0x0, ttl 64, id 24605, offset 0, flags [DF], proto ICMP (1), length 84)
   172.17.254.2 > 10.0.0.2: ICMP echo request, id 9655, seq 1, length 64
14:37:46.957099 08:00:27:5b:03:19 > 08:00:27:5c:5e:08, ethertype IPv4 (0x0800), length 122: (tos 0x0, ttl 64, id 1554, offset 0, flags [DF], proto GRE (47), length 108)
   192.168.113.65 > 192.168.113.63: GREv0, Flags [none], proto IPv4 (0x0800), length 88
   (tos 0x0, ttl 64, id 24723, offset 0, flags [DF], proto ICMP (1), length 84)
   172.17.254.2 > 10.0.0.2: ICMP echo request, id 9655, seq 2, length 64

Краткая шпаргалка:

HOST1: ip link add grelan type gretap  local <IP1> remote <IP2>
HOST1: ip link set grelan up
HOST1: iptables -I INPUT -p gre -s <IP2> -j ACCEPT
HOST2: ip link add grelan type gretap local <IP2> remote <IP1>
HOST2: ip link set grelan up
HOST2: iptables -I INPUT -p gre -s <IP1> -j ACCEPT

Leave a Reply Cancel reply