Настройка GRE over IPSEC на Микротик

В данной статье поговорим как настроить GRE туннель over IPSEC на роутере Микротик. Но сначала немного теории, GRE – это туннельный протокол разработанный компанией Cisco. Основная задача – инкапсуляция большого количества протоколов через виртуальный point-to-point линк. Работает на сетевом уровне TCP/IP и не имеет порта. Для лучшего понимания можно провести аналогию его с протоколами без отслеживания состояния, а именно IPIP и EoIP.

Это означает, что, если ваш линк на одной из сторон упадет, вы не сможете этого понять, находясь на другой стороне – это классика. Но компания Mikrotik добавила компонент keepalive. Теперь можно отслеживать состояние линка отправляя тем самые keepalive запросы. Отсутствует шифрование по понятным причинам, но это не беда, ведь у нас есть IPSEC. GRE туннель может пересылать только IPv4 и IPv6 пакеты. Не используйте «Check gateway» опцию «arp».

В своей практике, данное решение использую крайне редко, хоть он и используется в PPTP.

Взглянем на обычный IP пакет.

Схема IP пакета

Теперь посмотрим с GRE.

Схема GRE пакета

И еще с IPSEC в туннельном режиме.

Схема IPSEC пакета

Наша команда рекомендует изучитьНаша команда рекомендует изучить углубленный курс по администрированию сетевых устройств MikroTik В курсе много лабораторных работ по итогам которых вы получите обратную связь. После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

Схема сети

Схема лабораторной сети

Используем лабораторный стенд с Mikrotik CHR версии 6.46.3 на борту. Мы находимся справа внизу в офисе SPB (Office-SPB). Вводные данные:

  • Office-SPB GRE пир;
  • Office-Moscow GRE пир;
  • NetworkCore выполняет роль провайдера, он будет заниматься обычной маршрутизацией;
  • Office-Moscow ether1 смотрит в интернет 172.16.10.2/24;
  • Office-SPB ether1 смотрит в интернет 172.16.11.2/24;
  • Office-Moscow имеет bridge “General-Bridge” в локальной сети 192.168.11.1/24;
  • Office-SPB имеет bridge “General-Bridge” в локальной сети 192.168.10.1/24;
  • Адресация сети в туннеле 172.16.25.0/24.

Настройка GRE

Первым шагом рассмотрим простую настройку gre туннеля. Вся она будет одинакова на обоих роутерах. Подключившись к нажим железкам через Winbox и перейдем в Interfaces – GRE Tunnel.

Перейдем в список интерфейсов GRE

Создадим по интерфейсу. Укажем следующие параметры:

  • Name – понятное имя;
  • Remote Address – адрес соседа по туннелю. Основной принцип — направляем роутеры друг на друга;

Keepalive – тот самый параметр отслеживания состояния. Можно ничего не менять. Он означает следующее – если в течении 10 попыток по 10 секунд не отвечает удаленная сторона, считать туннель не активным.

Задаем параметры интерфейсов

Сохраняем настройки и смотрим на состояние.

Проверка состояния

Как мы видим, интерфейс в состоянии running. Назначим адреса. Переходим в IP – Addresses.

Добавляем IP адрес

Зададим адрес 172.16.25.1 для московского роутера и 172.16.26.2 для питерского.

Задаем адреса в туннеле

Для проверки связи запустим ping запросы.

Проверяем туннель

Пинги идут – все хорошо. Далее пропишем маршруты в локальные сети. Открываем IP – Routes на московском.

Добавляем маршрут в таблицу маршрутизации

Добавляем новый маршрут:

  • Dst. Address – 192.168.10.0/24;
  • Gateway – 172.16.25.2.

Задаем параметры маршрута

Сохраняем и проделываем аналогичную операцию только на питерском роутере.

Добавляем второй маршрут

Основной принцип – прописать маршруты в сети через адреса в туннелях. Проверим ping до адреса бриджа Mikrotik в Москве.

Проверяем доступность локальных сетей

Все отлично – значит мы правильно сделали. В целях демонстрации я отключу интерфейс в Москве, выжду интервал в 100 секунд и посмотрим на состояние туннеля.

Отключение интерфейса в Москве

Интересная ситуация, в одном офисе интерфейс активный, а в другом нет. Попробуем проверить связь.

Проверяем после отключения

Пингов нет, а туннель активен. Спустя какое-то время, Mikrotik в Питере понимает, что связи через gre туннель нет и меняют статус на интерфейсе.

Отработка keepalive

Тут-то и помогла доработка Mikrotik с keepalive. К чему этот эксперимент спросите вы? Во-первых – для демонстрации, во-вторых – если есть те, кто еще используют данный протокол для своих задач, имейте ввиду, что маршруты в routes буду активны то время, которое вы указали в keepalive. Только по истечении этого времени маршруты и адрес станут не активны.

Настройка GRE IPSEC

Более подробно с IPSEC можно познакомиться в одной из наших статей. Напомню только то, что нам необходимо вернуть московский в состояние активный и дождаться установки соединения. Далее переходим в настройки интерфейса и меняем следующие параметры:

  • IPsec Secret – общий ключ (пароль);
  • Allow Fast Path – снимаем галочку.

Включение IPSEC

Сохраняем и проверяем.

Проверка согласования IPSEC

Указав общий ключ, наши микротики согласуют стандартный IPSEC (не IKEv2) и инкапсулирует в него GRE. На этом настройка завершена. Спасибо за внимание и не забываем про safe mode.

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

Оцените статью
MikroTikLab
Добавить комментарий

Adblock
detector