Обсуждение статьи тематического каталога: Настройка GRE туннеля между маршрутизаторами Cisco (cisco tunnel gre)

Ссылка на текст статьи: http://www.opennet.me/base/cisco/gre_cisco_tun.txt.html

• Настройка GRE туннеля между маршрутизаторами Cisco (cisco tunnel gre),denis, 23:39 , 19-Дек-07
  • Настройка GRE туннеля между маршрутизаторами Cisco (cisco tu...,VOLAND, 09:40 , 20-Дек-07
  • Настройка GRE туннеля между маршрутизаторами Cisco (cisco tu...,nick, 15:30 , 20-Июн-08
• Настройка GRE туннеля между маршрутизаторами Cisco (cisco tunnel gre),strideradmin, 11:16 , 23-Дек-09
• Настройка GRE туннеля между маршрутизаторами Cisco (cisco tunnel gre),Alexander, 12:14 , 09-Апр-11
• GRE + BVI,Ольга, 13:12 , 22-Мрт-13
  • GRE + BVI,Roman, 11:51 , 15-Апр-13
• Настройка GRE туннеля между маршрутизаторами Cisco (cisco tunnel gre),ali, 15:03 , 09-Янв-19
• Настройка GRE туннеля между маршрутизаторами Cisco (cisco tunnel gre),seitenshi, 22:49 , 12-Мрт-23
• Настройка GRE туннеля между маршрутизаторами Cisco (cisco tunnel gre),seitenshi, 22:52 , 12-Мрт-23
• Настройка GRE туннеля между маршрутизаторами Cisco (cisco tunnel gre),seitenshi, 22:53 , 12-Мрт-23

ip tcp adjust-mss 1436 выставляет не MTU, а размер окна TCP сессии, которые начинаю корректно работать даже при установленном DF бите. Для UDP проблема этой командой не решается. Более подробно: http://dormestmass.blogspot.com/2007/08/df.html

Спасибо за дельное замечание, действительно я немного не точно выразился по поводу параметра  tcp adjust-mss, Maximum Segment Size (MSS) на интерфейсе Tunnel. Он выставляет значениея MSS для TCP SYN пакетов отправленых через интерфейс, а не MTU самого интерфеса и будет действовать только для TCP сесиий.

не размер окна TCP сессии, ибо это бред,окно меняется постоянно в зависимости от условий среды, а именно MSS, это 2 большие разницы

ip address 10.44.2.1 255.255.255.0
из условий сетка между офисами 255.255.0.0

Я так понимаю на одном маршрутизаторе можно несколько тунелей ноднять.. Сколько они ресурсов сжирают?? с3825 потянет 60 тунелей??

Здравствуйте!
Можно задать вопрос о GRE+BVI ?
Нужно реализовать схему:
офис1---switch---cisco------cisco---switch---офис2

Т.е. объединить два офиса. В интере много статей на эту тему.
Но у меня в обоих офисах одинаковые сети 192.168.0.х.
При обычном туннелировании (типа GRE) в каждом офисе на каждом ПК надо ставить шлюзы до цисок,
т.е. такой вариант не пройдет. Можно использовать L2TPv3, но это пока не реально в силу некоторых причин.
А можно ли использовать GRE+BVI?
Накидала такую конфигурацию:

interface Tunnel0
  ip address 10.10.10.1 255.255.255.0    // На другой циске адрес туннеля = 10.10.10.2
   tunnel mode gre
   tunnel source FastEthernet0/1
   tunnel destination 1.1.1.2        // На другой циске указано на 1.1.1.1

bridge irb
bridge 1 protocol ieee
bridge 1 route ip

bridge-group 1
bridge-group 1 spanning-disabled

interface FastEthernet0/1
    ip address 1.1.1.1 255.255.255.0    // На другой циске 1.1.1.2
    duplex auto
    speed auto
    bridge-group 1

interface FastEthernet0/0
  no ip address
  full-duplex
  no cdp enable
  bridge-group 1

interface BVI1
  no ip address

ip route 0.0.0.0 0.0.0.0 10.10.10.2        // На другой циске к 10.10.10.1 (надо ли?)

Добрый день, Ольга!
Да. Для того, чтобы офисы начали слать друг другу пакеты именно через туннель - строчка ip route 0.0.0.0 0.0.0.0 10.10.10.2 необходима.
Более того, чтобы поднялся протокол туннеля необходимо, чтобы циска хоть куда-нибудь стала слать пакеты с адресом 1.1.1.2 (дестинейшн). Тем не менее работать он не будет. Чтобы поднялся туннель надо прописать еще один роут (более точный): 1.0.0.0 255.0.0.0 1.1.1.3 (3 - это пример. Тут надо указать второй конец линка вашего fa0/1. Маску я так же указал рандомную. Всё зависит от настроек линка с провайдером). По мимо этого маршрутизаторы провайдера должны знать о сети 1.1.1.0.

я настроил gre tennel между 3 роутера у меня проблема туннели по один сторону видит а па другой стране не видит
у меня 3 cisco router и один в середине  

nano /etc/sysctl.conf
RTR-L Gitw
ip route 0.0.0.0 0.0.0.0 4.4.4.1

RTR-R gitw
ip route 0.0.0.0 0.0.0.0 5.5.5.1
int gi 1
ip nat outside
!
int gi 2
ip nat inside
!
access-list 1 permit 192.168.100.0 0.0.0.255
ip nat inside source list 1 interface Gi1 overload

RTR-R NAT
int gi 1
ip nat outside
!
int gi 2
ip nat inside
!
access-list 1 permit 172.16.100.0 0.0.0.255
ip nat inside source list 1 interface Gi1 overload

3. Между платформами должен быть установлен защищенный туннель, позволяющий осуществлять связь между регионами с применением внутренних адресов.
RTR-L GRE
interface Tunne 1
ip address 172.16.1.1 255.255.255.0
tunnel mode gre ip
tunnel source 4.4.4.100
tunnel destination 5.5.5.100

router eigrp 6500
network 192.168.100.0 0.0.0.255
network 172.16.1.0 0.0.0.255

RTR-R
interface Tunne 1
ip address 172.16.1.2 255.255.255.0
tunnel mode gre ip
tunnel source 5.5.5.100
tunnel destination 4.4.4.100

router eigrp 6500
network 172.16.100.0 0.0.0.255
network 172.16.1.0 0.0.0.255

RTR-L
crypto isakmp policy 1
encr aes
authentication pre-share
hash sha256
group 14
!
crypto isakmp key TheSecretMustBeAtLeast13bytes address 5.5.5.100
crypto isakmp nat keepalive 5
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto ipsec profile VTI
set transform-set TSET

interface Tunnel1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI

RTR-R
conf t

crypto isakmp policy 1
encr aes
authentication pre-share
hash sha256
group 14
!
crypto isakmp key TheSecretMustBeAtLeast13bytes address 4.4.4.100 / key может быть любой лол
crypto isakmp nat keepalive 5
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto ipsec profile VTI
set transform-set TSET

interface Tunnel1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI

4. Платформа управления трафиком RTR-L выполняет контроль входящего трафика согласно следующим правилам:
RTR-L ACL
ip access-list extended Lnew

permit tcp any any established
permit udp host 4.4.4.100 eq 53 any
permit udp host 4.4.4.1 eq 123 any
permit tcp any host 4.4.4.100 eq 80
permit tcp any host 4.4.4.100 eq 443
permit tcp any host 4.4.4.100 eq 2222

permit udp host 5.5.5.100 host 4.4.4.100 eq 500
permit esp any any
permit icmp any any

int gi 1
ip access-group Lnew in

5. Платформа управления трафиком RTR-R выполняет контроль входящего трафика согласно следующим правилам:
RTR-R ACL
ip access-list extended Rnew

permit tcp any any established
permit tcp any host 5.5.5.100 eq 80
permit tcp any host 5.5.5.100 eq 443
permit tcp any host 5.5.5.100 eq 2244
permit udp host 4.4.4.100 host 5.5.5.100 eq 500

permit esp any any
permit icmp any any

int gi 1
ip access-group Rnew in

6. Обеспечьте настройку служб SSH региона Left:
RTR-L SSH
ip nat inside source static tcp 192.168.100.100 22 4.4.4.100 2222

RTR-R SSH
ip nat inside source static tcp 172.16.100.100 22 5.5.5.100 2244

SSH WEB-L и SSH WEB-R
apt-cdrom add
apt install -y openssh-server ssh

nano /etc/ssh/sshd_config /когда зашли в файлик расскоменчиваем и изменяем следующее:

PermitRootLogin yes /отключить вход для суперпользователя

Чтобы сохранить изменения, нажмите Ctrl + O и Enter. Затем закройте редактор сочетанием клавиш Ctrl + X.

systemctl restart sshd

systemctl start sshd

systemctl enable ssh

systemctl status ssh /Проверьте работу SSH

ssh root@IPАДРЕС [-p и порт(2222(2244)) ] который вы поставили /для подключения

apt-cdrom add
apt install -y bind9

mkdir /opt/dns
cp /etc/bind/db.local /opt/dns/demo.db
chown -R bind:bind /opt/dns

nano /etc/apparmor.d/usr.sbin.named

/opt/dns/** rw,

systemctl restart apparmor.service

nano /etc/bind/named.conf.options

nano /etc/bind/named.conf.default-zones

zone "demo.wsr" {
type master;
allow-transfer { any; };
file "/opt/dns/demo.db";
};

nano /opt/dns/demo.db

@ IN SOA demo.wsr. root.demo.wsr.(

@ IN NS isp.demo.wsr.
isp IN A 3.3.3.1
www IN A 4.4.4.100
www IN A 5.5.5.100
internet CNAME isp.demo.wsr.
int IN NS rtr-l.demo.wsr.
rtr-l IN A 4.4.4.100

systemctl restart bind9

RTR-L
b. Маршрутизатор региона должен транслировать соответствующие порты DNS-службы в порты сервера SRV.

ip nat inside source static tcp 192.168.100.200 53 4.4.4.100 53
!
ip nat inside source static udp 192.168.100.200 53 4.4.4.100 53
Через диспетчер серверов устанавливаем роль DNS заходим через tool в DNS добавляем прямую зону forwardind с именем int.demo.wsr потом в обратную зону reverse добавляем зону с двумя подсетями 192.168.100 и 172.16.100. ставим галочку на ресерв потом в прямой зоне тыкаем туда тук тук пкм по пустому месту добавляем АААААА из таблицы галку там тоже ставим и потом опять ПКМ и cname через broweursas добавляем туда srv
apt install -y chrony

nano /etc/chrony/chrony.conf

local stratum 4
allow 4.4.4.0/24
allow 3.3.3.0/24

systemctl restart chronyd
apt-cdrom add
apt install -y chrony

nano /etc/chrony/chrony.conf

pool chrony.int.demo.wsr iburst
allow 192.168.100.0/24

systemctl restart chrony

WEB-R NTP
apt-cdrom add
apt install -y chrony

nano /etc/chrony/chrony.conf

pool chrony.int.demo.wsr iburst
allow 192.168.100.0/24

systemctl restart chrony
6. Сервера WEB-L и WEB-R должны использовать службу, настроенную на SRV, для обмена файлами между собой:
WEB-L SMB
apt-cdrom add
apt install -y cifs-utils

nano /root/.smbclient

username=Administrator
password=P@ssw0rd

nano /etc/fstab

//srv.int.demo.wsr/smb /opt/share cifs user,rw,_netdev,credentials=/root/.smbclient 0 0

mkdir /opt/share
mount -a

WEB-R SMB
apt-cdrom add
apt install -y cifs-utils

nano /root/.smbclient

username=Administrator
password=P@ssw0rd

nano /etc/fstab

//srv.int.demo.wsr/smb /opt/share cifs user,rw,_netdev,credentials=/root/.smbclient 0 0

mkdir /opt/share
mount -a

RTR-L NTP
ip domain name int.demo.wsr
ip name-server 192.168.100.200

ntp server chrony.int.demo.wsr

RTR-R NTP
ip domain name int.demo.wsr
ip name-server 192.168.100.200

ntp server chrony.int.demo.wsr