Туннель GRE

Если в вашей компании имеется удаленный филиал, в котором также установлен ИКС, то для объединения локальных сетей безопасным способом наиболее подходящим решением будет настройка шифрованного туннеля между ними.

Для обеспечения безопасности передачи данных в туннеле используется IPSec. Защита передачи данных по туннелям позволяет избежать утечки информации и получения ложных данных.

В ИКС можно настроить подключение между серверами статическим туннелем по IPIP- или GRE-протоколу.

Обычно выбор типа туннеля зависит от промежуточных провайдеров, которые по каким-либо причинам могут блокировать трафик GRE или IPIP, что приводит к невозможности использования какого-то одного типа туннеля. Принципиальной разницы между данными типами туннелей нет.

Добавить туннель GRE можно в меню Сеть > Провайдеры и сети. Для этого выполните следующие действия:

  1. Нажмите кнопку «Добавить» и выберите «Туннели > Туннель GRE».

  2. На вкладке «Общие настройки» введите название туннеля.
  3. Выберите внешний интерфейс.
  4. Введите в соответствующих полях следующие адреса: внешний IP-адрес удаленного сервера, локальный IP-адрес туннеля, удаленный IP-адрес туннеля.

  5. На вкладке также можно задать локальные сети, удаленные сети и MTU.
  6. Если требуется, установите флаги:
    • «Автоматически создавать статический маршрут для удаленных сетей»;
    • «Использовать NAT».
  7. При необходимости задайте ключ GRE. По умолчанию он не используется.
  8. На вкладке «Настройки шифрования» можно выбрать шифрование IPSec и установить его параметры.

    Внимание! Данную процедуру необходимо произвести на обоих концах туннеля, в противном случае передача данных работать не будет.

    Внимание! При использовании IPSec-шифрования в туннелях IPIP и GRE трафик будет проходить через интерфейс enc0. Статистика на данном интерфейсе не собирается!

  9. На вкладке «Настройки мониторинга» можно установить флаги:
    • «Проверять наличие пинга внешнего IP-адреса удаленного сервера» — проверка, отвечает ли на ICMP-запросы внешний адрес удаленного сервера, который указан в общих настройках туннеля. Если пинг не будет проходить, в статусе туннеля отобразится соответствующее уведомление;
    • «Проверять наличие пинга удаленного IP-адреса туннеля» — проверка доступности удаленного IP-адреса туннеля;
    • «Проверять доступность серверов» — при установке флага укажите серверы, доступность которых будет проверяться.

    По умолчанию все флаги сняты.

  10. Нажмите «Добавить» — новый туннель появится в списке.

  11. Аналогичные настройки необходимо произвести на другом конце туннеля.

Внимание! Для корректной работы туннеля необходимо, чтобы в межсетевом экране ИКС был разрешен GRE-трафик, а также разрешены входящие соединения с IP-адреса удаленного сервера.

О статье

Идентификатор статьи:
220
Рейтинг :

Меню

Связанные статьи