GRE over IPSEC
Zdarzają się sytuacje gdy jesteśmy zmuszeni połączyć tunelem dwie lokalizacje w których sieci lokalne maja identyczną adresację (te same podsieci) i nie mamy możliwości przeadresowania podsieci. Problem taki można rozwiązać na drodze translacji One-to-One NAT poprzez maskowanie sieci zdalnych ale nie zawsze takie rozwiązanie jest optymalne. Wraz z wersją 2.x firmware Stormshield wprowadził obsługę interfejsów GRETAP. Możemy zmostkować interfejsy sieci lokalnych z interfejsem GRETAP i połączyć je poprzez protokół GRE. Protokół GRE nie jest szyfrowany zatem jeżeli chcemy zabezpieczyć transmisję należy dodatkowo enkapsulować protokół GRE w polisę IPSEC.
LOKALIZACJA A (lewa)
Firewall_siec_lan (bridge – in, gretap): 10.0.0.253
Network_siec_lan (network): 10.0.0.0/8
Firewall_out (host): 1.1.1.2/30
vpn_endpoint (host): 1.1.2.2
brama (host): 1.1.1.1
LOKALIZACJA B (prawa)
Firewall_siec_lan (bridge – in, gretap): 10.0.0.254
Network_siec_lan (network): 10.0.0.0/8
Firewall_out (host): 1.1.2.2/30
vpn_endpoint (host): 1.1.1.2
brama (host): 1.1.2.1
W pierwszym kroku tworzymy interfejs gretap: Moduły/Konfiguracja sieci/Intefejsy
Jeżeli mamy już bridge do którego należy interfejs sieci lan to nowo tworzony interfejs GRETAP dodajemy do tego mostu, jeżeli jeszcze nie mamy to wybieramy opcję Utwórz i wyłącz interfejs GRETAP.
Ostateczna postać struktury bridge powinna wyglądać podobnie jak:
Analogiczną konfigurację należy przeprowadzić na urządzeniu w drugiej lokalizacji.
Kolejnym krokiem będzie zabezpieczenie połączenia GRE za pomocą polisy IPSEC. Konfiguracja jest analogiczna w obu lokalizacjach.
Ustawiania fazy 2:
Ustawiania fazy 1 (należy stosować wersję IKEv2):
Należy aktywować sloty w obu lokalizacjach.
Należy pamiętać aby zachować rozdzielność adresacji hostów w lokalizacjach (nie można dublować adresów IP). Kolumna Protokół (ustawienia fazy 2) jest standardowo nie widoczna, należy ją włączyć i wybrać protokół GRE tak aby ewentualnie nie przesyłać tunelem innych protokołów warstwy IP.
- Paweł Grzelewski