GRE over IPSEC

Posted by pawel in NETWORK, VPN

Zdarzają się sytuacje gdy jesteśmy zmuszeni połączyć tunelem dwie lokalizacje w których sieci lokalne maja identyczną adresację (te same podsieci) i nie mamy możliwości przeadresowania podsieci. Problem taki można rozwiązać na drodze translacji One-to-One NAT poprzez maskowanie sieci zdalnych ale nie zawsze takie rozwiązanie jest optymalne. Wraz z wersją 2.x firmware Stormshield wprowadził obsługę interfejsów GRETAP. Możemy zmostkować interfejsy sieci lokalnych z interfejsem GRETAP i połączyć je poprzez protokół GRE. Protokół GRE nie jest szyfrowany zatem jeżeli chcemy zabezpieczyć transmisję należy dodatkowo enkapsulować protokół GRE w polisę IPSEC.

gre over ipsec

LOKALIZACJA A (lewa)

Firewall_siec_lan (bridge – in, gretap): 10.0.0.253

Network_siec_lan (network): 10.0.0.0/8

Firewall_out (host): 1.1.1.2/30

vpn_endpoint (host): 1.1.2.2

brama (host): 1.1.1.1

LOKALIZACJA B (prawa)

Firewall_siec_lan (bridge – in, gretap): 10.0.0.254

Network_siec_lan (network): 10.0.0.0/8

Firewall_out (host): 1.1.2.2/30

vpn_endpoint (host): 1.1.1.2

brama (host): 1.1.2.1

W pierwszym kroku tworzymy interfejs gretap: Moduły/Konfiguracja sieci/Intefejsy

Jeżeli mamy już bridge do którego należy interfejs sieci lan to nowo tworzony interfejs GRETAP dodajemy do tego mostu, jeżeli jeszcze nie mamy to wybieramy opcję Utwórz i wyłącz interfejs GRETAP.

Ostateczna postać struktury bridge powinna wyglądać podobnie jak:

screen3

Analogiczną konfigurację należy przeprowadzić na urządzeniu w drugiej lokalizacji.

Kolejnym krokiem będzie zabezpieczenie połączenia GRE za pomocą polisy IPSEC. Konfiguracja jest analogiczna w obu lokalizacjach.

Ustawiania fazy 2:

Ustawiania fazy 1 (należy stosować wersję IKEv2):

Należy aktywować sloty w obu lokalizacjach.

Należy pamiętać aby zachować rozdzielność adresacji hostów w lokalizacjach (nie można dublować adresów IP). Kolumna Protokół (ustawienia fazy 2) jest standardowo nie widoczna, należy ją włączyć i wybrać protokół GRE tak aby ewentualnie nie przesyłać tunelem innych protokołów warstwy IP.

- Paweł Grzelewski

23 maja 2016


Najnowszy firmware SNS: 3.7.2 (Release Note)
Najnowszy firmware SNSv2: 2.13 (Release Note)