Създаване ipip тунели, GRE и EoIP - keenetic

В сайтове за достъп до Интернет Keenetic серия започва с версия на операционната система NDMS V2.08, възможност за създаване на тунели IPIP (IP през IP), GRE (Generic Routing Капсулирането), EoIP (Ethernet над IP) като проста форма, както и в комбинация с тунел IPSec, който ще се използва за защита на тези тунели IPSec VPN стандарти за сигурност.

Подкрепа за тунели IPIP, GRE, EoIP интернет центрове Keenetic ви позволява да инсталирате VPN-връзка с хардуерни шлюзове, за Линукс рутери, компютри и в UNIX / Linux операционна система, сървъри, както и век друго мрежово и телекомуникационно оборудване, с помощта на тези тунели.

За да работите с тунелите, необходими за достъп до настройките на мястото допълнително създават подходящи компоненти NDMS система:
Тунели IP-IP (Позволява създаване на тунели IP-над-IP);
Тунелите са GRE (позволява създаването на тунели са GRE);
Тунели EoIP (Позволява ви да създавате тунели Ethernet през IP).

IPIP (IP през IP) е един от най-лесните за създаване на тунелите (капсулира само с единично IPv4 трафик). Той може да бъде конфигуриран като UNIX / Linux-система, както и на различните маршрутизатори (например Cisco).

GRE (Generic Routing Капсулирането) тунел е един от най-популярните видове VPN. Капсулира трафик с единично / мултикаст IPv4 / IPv6. Основното предимство на GRE е в състояние да предава трафик излъчване. GRE тунели са съвместими с всички шлюзове за сигурност Серия Zyxel ZyWALL / USG, маршрутизатори Mikrotik, Linux-рутери, както и с оборудване, което е в състояние да работи с GRE (например, Cisco, Juniper и т.н.).

Тунели IPIP, GRE и EoIP работи директно върху IPv4-протокол. IPIP използва IP протокол номер 4, GRE и EoIP използваме IP-протокол номер 47.

В момента настройката IPIP тунели, GRE и EoIP реализира чрез интерфейс на командния ред (CLI), сайт за достъп.

конфигурация тунел GRE / IPIP Keenetic между две интернет центрове.

Пример 1.
Създаване на единия край на тунела:

(Config)> интерфейс IPIP0
(Config-ако)> тунел дестинация router1.example.com
(Config-ако)> IP адрес 192.168.100.1 255.255.255.0
(Config-ако)> сигурност на ниво частен
(Config-ако)> нагоре

На другия край на тунела са дадени "огледало" настройка:

(Config)> интерфейс IPIP0
(Config-ако)> тунел дестинация 8.6.5.4
(Config-ако)> IP адрес 192.168.100.2 255.255.255.0
(Config-ако)> сигурност на ниво частен
(Config-ако)> нагоре

За име GRE интерфейс ще Gre0.

Пример 2.
Създаване на единия край на тунела:

(Config)> интерфейс IPIP0
(Config-ако)> тунел дестинация router1.example.com
(Config-ако)> IP адрес 192.168.100.1 255.255.255.0
(Config-ако)> нагоре
(Config-ако)> не изолат-частни
(Config-ако)> интраперитонеално 10.10.2.0 255.255.255.0 IPIP0 / * статичен маршрут към отдалечения частен подмрежа 10.10.2.0/24 през тунел * /

На другия край на тунела:

(Config)> интерфейс IPIP0
(Config-ако)> тунел дестинация 8.6.5.4
(Config-ако)> IP адрес 192.168.100.2 255.255.255.0
(Config-ако)> нагоре
(Config-ако)> не изолат-частни
(Config-ако)> интраперитонеално 10.10.1.0 255.255.255.0 IPIP0 / * статичен маршрут към отдалечения частен подмрежа 10.10.1.0/24 през тунел * /

EoIP конфигурация тунел между две Keenetic интернет центрове.

Създаване на единия край на тунела:

(Config)> интерфейс EoIP0
(Config-ако)> тунел дестинация router1.example.com
(Config-ако)> тунел EoIP ID 1500
(Config-ако)> IP адрес 192.168.100.1 255.255.255.0
(Config-ако)> сигурност на ниво частен
(Config-ако)> нагоре

"Mirror" създаване на другия край на тунела:

(Config)> интерфейс EoIP0
(Config-ако)> тунел дестинация 8.6.5.4
(Config-ако)> тунел EoIP ID 1500
(Config-ако)> IP адрес 192.168.100.2 255.255.255.0
(Config-ако)> сигурност на ниво частен
(Config-ако)> нагоре

(Config)> интерфейс Начало
(Config-ако)> включва EoIP0

Внимание! За интерфейси IPIP тунели, GRE и EoIP MTU стойност се изчислява автоматично въз основа на интерфейса, през които ще премине трафик, но също така е възможно да се създаде ръцете и чрез IP MTU командния интерфейс

Използване на тунели IPIP, GRE и EoIP заедно с IPSec

В случай на инсталиране на всяка операционна система NDMS IPSec VPN компонент, става възможно да се защитят тези тунели, използващи стандарти за сигурност IPSec, както при автоматично и напълно ръчен режим. Ръчен режим няма да бъде описан като опитни потребители могат да персонализират с IPSec тунела към правилния режим и след това повиши над IPSec тунел. В случай на автоматичното регулиране е решен няколко проблема наведнъж ръчен режим:
- правилно експонирани стойност MTU;
- връзката става връзка ориентирани, и вие трябва да изберете кой от краищата на тунела става клиент и кой е на сървъра;
- автоматично решава проблема с преминаване през NAT, защото използва IPSec NAT Traversal (NAT-T), в който целият поток тунел движение се преобразува в UDP порт 500/4500;
- използва криптиране и проверка на целостта на данните.

IPSec VPN компонент добави следната настройка на тунелите:

интерфейс IPSec предварително споделен ключ - PSK криптиране

интерфейс IPSec криптиране на ниво - нивото на криптиране, по подразбиране е настроен така, че да обхване максимален брой устройства и хардуерно ускорение. Вие не може да се промени.

Тъй като IPSec разделя клиент и сървър, то сега е да конфигурирате клиента (инициатор на страната, която ще се опита да установи връзка), трябва да използвате командата интерфейс тунел дестинация. и за да активирате режима на сървъра (страната, която ще отговори на опитите да се установи връзка), трябва да използвате командата интерфейс източник тунел.

(Config)> интерфейс EoIP0
(Config-ако)> източник тунел ISP
(Config-ако)> тунел EoIP ID 1500
(Config-ако)> IPSec предварително споделен ключ mytestingkey
(Config-ако)> IP адрес 192.168.100.1 255.255.255.0
(Config-ако)> сигурност на ниво частен
(Config-ако)> нагоре

(Config)> интерфейс EoIP0
(Config-ако)> тунел дестинация 8.6.5.4
(Config-ако)> тунел EoIP ID 1500
(Config-ако)> IPSec предварително споделен ключ mytestingkey
(Config-ако)> IP адрес 192.168.100.2 255.255.255.0
(Config-ако)> сигурност на ниво частен
(Config-ако)> нагоре

Внимание! Необходимо е да се предварително споделен ключ IPSec PSK (предварително споделен ключ) мач в двата края на тунела.

Тунели на база EoIP / IPSec и GRE / IPSec несъвместима с връзки PPTP, поради използването на същия GRE протокол. В този случай, използвайте само един вариант на разположение: IPIP / IPSec

Обърнете внимание на опция изолат-частното
Между частни възможности за връзка с изключена по подразбиране, но ако е необходимо, достъп може да бъде активирана. Ако трябва да се даде възможност на връзки между интерфейси като частен (т.е. не се изолират достъп) за този изпълните командата
не изолат-частното

Клиентите считат този материал полезен: 3 от 3