تانل GRE Tunnel میکروتیک

راه‌اندازی تونل GRE بین دو روتر میکروتیک یک راهکار کارآمد برای ایجاد ارتباط نقطه به نقطه بین شبکه‌های مختلف است. این روش به ویژه برای شرکت‌ها و سازمان‌هایی که دارای شعب متعدد هستند و نیاز به ارتباط مستقیم و امن بین دفاتر خود دارند، بسیار مفید است. با استفاده از تونل GRE، می‌توان ترافیک داده‌ها را به صورت امن و پایدار بین دو نقطه انتقال داد.

وب‌سایت امداد شبکه با ارائه خدمات پشتیبانی سریع و اجرای حرفه‌ای شبکه‌های کامپیوتری، شما را در راه‌اندازی و پیکربندی تونل GRE راهنمایی می‌کند. از مشاوره تخصصی تا اجرای کامل پروژه، امداد شبکه همواره در کنار شماست تا از امنیت و کارایی شبکه‌های شما اطمینان حاصل کند.

Mikrotik Router Site-to-Site GRE Tunnel Configuration :GRE (Generic Routing Encapsulation)

ایجاد یک تونل GRE (Generic Routing Encapsulation) بین دو روتر MikroTik یک راه مفید برای برقراری یک ارتباط مستقیم و نقطه به نقطه بین روترها است و به آنها اجازه می دهد به گونه ای که گویی در یک شبکه هستند ارتباط برقرار کنند. در اینجا مراحل راه اندازی یک تونل GRE بین دو روتر MikroTik آمده است:

برای ایجاد تونل IPIP بین ۲ روتر MikroTik، باید موارد زیر را پیکربندی کنیم:

ایجاد رابط

IPIP Tunnel. 2. آدرس IP را به رابط تونل اختصاص دهید.

3. مسیر ثابت را اضافه کنید تا فقط میزبان مورد نظر بتواند به تونل دسترسی داشته باشد.

بیایید این ۳ تنظیمات را برای هر دو روتر پیکربندی کنیم.

در روتر ۱ (HQ-Router)

۱- ایجاد Interface تونل GRE:

۲- آدرس IP را به Interface تونل اختصاص دهید:

۳- Static Rout را اضافه کنید تا فقط میزبان مورد نظر بتواند به تونل دسترسی داشته باشد.

آن ۳ مرحله را دوباره برای Branch-Router تکرار کنید.

۱- ایجاد Interface تونل GRE:

۲- آدرس IP را به Interface تونل اختصاص دهید:

۳- Static Rout را اضافه کنید تا فقط میزبان مورد نظر بتواند به تونل دسترسی داشته باشد.

اعتبار تونل GRE را با پینگ Branch PC از HQ-PC تأیید کنید.

از اسکرین شات بالا متوجه شدیم که HQ-PC می تواند Br-Pc را پینگ کند و بالعکس. بنابراین تونل GRE همانطور که انتظار داشتیم کار می کند. همچنین می‌توانیم مسیر را با استفاده از دستور Trace ببینیم.

سناریو مثال عملی برای ایجاد GRE Tunnel

من دوتا میکروتیک دارم میخواهم شبکههای داخلی کامل به هم دسترسی داشته باشندبا GRE-tunnel داشته باشند .

یکی
۱۷۸.۱.۶۴.۱۶۷
و دیگر ۸۱.۱.۱۲۶.۲۳۳

برای ایجاد یک ارتباط کامل بین دو دستگاه MikroTik از طریق GRE Tunnel، مراحل زیر را دنبال کنید:

۱. تنظیمات GRE Tunnel در MikroTik اول (IP: 178.131.64.167)

1. به Interfaces بروید و یک GRE Tunnel جدید اضافه کنید.
2. تنظیمات زیر را وارد کنید:
   • Name: نامی مثل GRE-Tunnel1 انتخاب کنید.
   • Remote Address: IP دومین MikroTik یعنی ۸۱.۱.۱۲۶.۲۳۳.
   • Local Address: IP این MikroTik یعنی ۱۷۸.۱۳۱.۶۴.۱۶۷.
   • Keepalive: یک عدد (مثل ۱۰) انتخاب کنید تا ارتباط بررسی شود.
3. تنظیمات را ذخیره کنید.

۲. تنظیمات GRE Tunnel در MikroTik دوم (IP: 81.16.126.233)

1. به Interfaces بروید و یک GRE Tunnel جدید ایجاد کنید.
2. تنظیمات زیر را وارد کنید:
   • Name: نامی مثل GRE-Tunnel2 انتخاب کنید.
   • Remote Address: IP اولی یعنی ۱۷.۱.۶۴.۱۶۷.
   • Local Address: IP این MikroTik یعنی ۸۱.۱.۱.۲۳۳.
   • Keepalive: همان عددی که در MikroTik اول استفاده کردید (مثلاً ۱۰).
3. تنظیمات را ذخیره کنید.

۳. افزودن آدرس‌های IP به GRE Tunnel

حالا باید به هر GRE Tunnel یک IP اختصاص دهید تا روتینگ بین آن‌ها برقرار شود:

• در MikroTik اول:
  • به IP > Addresses بروید و به GRE-Tunnel1 یک آدرس IP اضافه کنید (مثل ۱۹۲.۱۶۸.۱۰۰.۱/۳۰).
• در MikroTik دوم:
  • به IP > Addresses بروید و به GRE-Tunnel2 یک آدرس IP بدهید (مثلاً ۱۹۲.۱۶۸.۱۰۰.۲/۳۰).

۴. تنظیم مسیر (Route) برای ارتباط کامل

حالا باید روتینگ را برای هر دو دستگاه تنظیم کنید تا هر کدام به شبکه‌های محلی یکدیگر دسترسی داشته باشند:

• در MikroTik اول:
  • به IP > Routes بروید و یک Static Route اضافه کنید:
    • Destination Address: شبکه محلی MikroTik دوم (مثلاً ۱۹۲.۱۶۸.۲۰۰.۰/۲۴).
    • Gateway: IP طرف مقابل در GRE Tunnel (یعنی ۱۹۲.۱۶۸.۱۰۰.۲).
• در MikroTik دوم:
  • به IP > Routes بروید و یک Static Route اضافه کنید:
    • Destination Address: شبکه محلی MikroTik اول (مثلاً ۱۹۲.۱۶۸.۱۰.۰/۲۴).
    • Gateway: IP طرف مقابل در GRE Tunnel (یعنی ۱۹۲.۱۶۸.۱۰۰.۱).

۵. تنظیمات فایروال

در هر دو MikroTik، اطمینان حاصل کنید که قوانین فایروال ترافیک GRE و ارتباط شبکه‌های محلی از طریق Tunnel را مسدود نمی‌کند.

پس از انجام این تنظیمات، دو MikroTik از طریق GRE Tunnel به هم متصل خواهند شد و دسترسی کاملی به شبکه‌های محلی یکدیگر خواهند داشت.

خیر به هم پینگ ندارند

اگر پس از پیکربندی GRE Tunnel، دو MikroTik هنوز به یکدیگر پینگ ندارند، ممکن است مشکل از تنظیمات GRE یا فایروال باشد. مراحل زیر را برای بررسی و رفع مشکل دنبال کنید:

۱. بررسی تنظیمات GRE Tunnel

اطمینان حاصل کنید که تنظیمات GRE Tunnel در هر دو MikroTik به‌درستی انجام شده است. در هر دو روتر:

• در Interfaces > GRE Tunnels بررسی کنید که آدرس IP محلی و ریموت صحیح باشد:
  • در MikroTik اول (۱۷۸.۱.۶۴.۱۶۷)، Local Address باید ۱۷۸.۱.۶۴.۱۶۷ و Remote Address باید ۸۱.۱۶.۱۲۶.۲۳۳ باشد.
  • در MikroTik دوم (۸۱.۱.۱۲۶.۲۳۳)، Local Address باید ۸۱.۱.۱۲۶.۲۳۳ و Remote Address باید ۱۷۸.۱۳۱.۶۴.۱۶۷ باشد.

۲. بررسی فایروال

ممکن است فایروال در هر دو MikroTik ترافیک GRE را مسدود کرده باشد. برای حل این مشکل:

1. به IP > Firewall > Filter Rules بروید.
2. یک رول جدید برای اجازه دادن به ترافیک GRE اضافه کنید:
   • Chain: Input
   • Protocol: GRE (شماره پروتکل ۴۷)
   • Action: Accept
3. این رول را در هر دو MikroTik اضافه کنید.

۳. بررسی مسیرهای Static

مطمئن شوید که مسیرها به‌درستی پیکربندی شده‌اند. در هر روتر:

• به IP > Routes بروید و اطمینان حاصل کنید که یک Static Route برای شبکه محلی روتر مقابل اضافه کرده‌اید.
  • برای MikroTik اول: Destination Address شبکه داخلی MikroTik دوم و Gateway آدرس داخلی GRE (192.168.100.2).
  • برای MikroTik دوم: Destination Address شبکه داخلی MikroTik اول و Gateway آدرس داخلی GRE (192.168.100.1).

۴. تست پینگ در دو مرحله

ابتدا از هر MikroTik، IP طرف مقابل در GRE Tunnel را پینگ کنید:

• از MikroTik اول، آدرس ۱۹۲.۱۶۸.۱۰۰.۲ را پینگ بگیرید.
• از MikroTik دوم، آدرس ۱۹۲.۱۶۸.۱۰۰.۱ را پینگ بگیرید.

اگر این پینگ برقرار است، سپس از یک MikroTik به شبکه داخلی MikroTik مقابل پینگ بگیرید تا مطمئن شوید روتینگ کامل شده است.

از فایر وال مشکل دارند

اگر مشکل از تنظیمات فایروال است، مراحل زیر را برای اطمینان از اجازه ترافیک GRE و ICMP در هر دو MikroTik انجام دهید:

۱. اضافه کردن قوانین فایروال برای GRE و ICMP

برای اینکه هر دو MikroTik بتوانند ترافیک GRE و ICMP (پینگ) را بدون مشکل عبور دهند، این قوانین فایروال را به هر دو روتر اضافه کنید.

اجازه ترافیک GRE

1. به IP > Firewall > Filter Rules بروید.
2. یک رول جدید با تنظیمات زیر اضافه کنید:
   • Chain: input
   • Protocol: ۴۷ (برای GRE)
   • Action: accept
3. این رول را در input اضافه کنید تا اجازه دهد ترافیک GRE به روتر وارد شود.

اجازه ترافیک ICMP (پینگ)

1. به IP > Firewall > Filter Rules بروید.
2. یک رول جدید با تنظیمات زیر اضافه کنید:
   • Chain: input
   • Protocol: icmp
   • Action: accept
3. این رول ICMP را نیز اضافه کنید تا پینگ بین دو روتر مجاز شود.

۲. تنظیمات NAT

مطمئن شوید که رول NAT خاصی که باعث محدودیت ترافیک بین شبکه‌ها می‌شود، وجود ندارد. در IP > Firewall > NAT، بررسی کنید که رول‌های NAT ترافیک بین شبکه‌های داخلی و GRE را مسدود نمی‌کنند.

۳. ترتیب قوانین فایروال

در بخش Filter Rules، مطمئن شوید که رول‌های accept برای ترافیک GRE و ICMP در اولویت بالاتری نسبت به قوانین مسدودکننده دیگر قرار دارند. اگر رول‌های مسدودکننده در بالاترین اولویت باشند، ممکن است این ترافیک مسدود شود.

۴. تست نهایی

پس از اضافه کردن و ترتیب دادن قوانین فایروال، دوباره از MikroTik اول، IP داخلی GRE در MikroTik دوم را پینگ بگیرید و برعکس.

این تغییرات باید دسترسی کامل بین دو روتر از طریق GRE Tunnel را فراهم کند.

رولها را به صورت کامل بنویسید

برای رفع مشکل فایروال و اطمینان از اینکه ترافیک GRE و ICMP به درستی عبور کند، این رول‌های فایروال را به صورت کامل در هر دو MikroTik تنظیم کنید.

۱. رول‌های فایروال برای اجازه ترافیک GRE (پروتکل ۴۷)

این رول‌ها به فایروال دستور می‌دهند که ترافیک GRE (پروتکل شماره ۴۷) را اجازه دهد.

در MikroTik اول (IP: 178.131.64.167):

1. وارد IP > Firewall > Filter Rules شوید.
2. یک رول جدید اضافه کنید:
   • Chain: input
   • Protocol: ۴۷ (برای GRE)
   • Action: accept
   • Comment: Allow GRE Tunnel

در MikroTik دوم (IP: 81.1.126.233):

1. وارد IP > Firewall > Filter Rules شوید.
2. یک رول جدید اضافه کنید:
   • Chain: input
   • Protocol: ۴۷ (برای GRE)
   • Action: accept
   • Comment: Allow GRE Tunnel

۲. رول‌های فایروال برای اجازه ترافیک ICMP (پینگ)

این رول‌ها به فایروال اجازه می‌دهند که پینگ (ترافیک ICMP) از یک MikroTik به دیگری عبور کند.

در MikroTik اول (IP: 178.1.64.167):

1. وارد IP > Firewall > Filter Rules شوید.
2. یک رول جدید اضافه کنید:
   • Chain: input
   • Protocol: icmp
   • Action: accept
   • Comment: Allow ICMP (Ping)

در MikroTik دوم (IP: 81.16.126.233):

1. وارد IP > Firewall > Filter Rules شوید.
2. یک رول جدید اضافه کنید:
   • Chain: input
   • Protocol: icmp
   • Action: accept
   • Comment: Allow ICMP (Ping)

۳. اضافه کردن رول‌های عمومی برای عبور ترافیک از GRE Tunnel

این رول‌ها برای اجازه دادن به ترافیک GRE از شبکه‌های داخلی و VPN ضروری هستند.

در MikroTik اول (IP: 178.131.64.167):

1. وارد IP > Firewall > Filter Rules شوید.
2. یک رول جدید اضافه کنید:
   • Chain: forward
   • Src. Address: ۱۹۲.۱۶۸.۸۰.۰/۲۴ (شبکه داخلی MikroTik اول)
   • Dst. Address: ۱۹۲.۱۶۸.۸۱.۰/۲۴ (شبکه داخلی MikroTik دوم)
   • Protocol: ۴۷ (برای GRE)
   • Action: accept
   • Comment: Allow GRE Tunnel traffic between networks

در MikroTik دوم (IP: 81.16.126.233):

1. وارد IP > Firewall > Filter Rules شوید.
2. یک رول جدید اضافه کنید:
   • Chain: forward
   • Src. Address: ۱۹۲.۱۶۸.۸۱.۰/۲۴ (شبکه داخلی MikroTik دوم)
   • Dst. Address: ۱۹۲.۱۶۸.۸۰.۰/۲۴ (شبکه داخلی MikroTik اول)
   • Protocol: ۴۷ (برای GRE)
   • Action: accept
   • Comment: Allow GRE Tunnel traffic between networks

۴. ترتیب رول‌ها در فایروال

مطمئن شوید که این رول‌ها در بالاترین اولویت نسبت به سایر قوانین مسدودکننده قرار دارند. برای این کار، پس از افزودن رول‌ها، آن‌ها را به بالای لیست انتقال دهید تا ترافیک GRE و ICMP قبل از دیگر قوانین مسدودکننده بررسی شود.

۵. آزمایش پینگ و ارتباطات GRE

پس از افزودن این رول‌ها، از هر MikroTik به آدرس GRE طرف مقابل پینگ بگیرید و همچنین از شبکه داخلی هر روتر به شبکه داخلی روتر دیگر تست کنید تا مطمئن شوید ارتباط برقرار است.

این رول‌ها باید اجازه دهند که ترافیک GRE و ICMP از طریق فایروال عبور کند و ارتباطات بین دو MikroTik از طریق GRE Tunnel برقرار شود.