تانل GRE Tunnel میکروتیک
راهاندازی تونل GRE بین دو روتر میکروتیک یک راهکار کارآمد برای ایجاد ارتباط نقطه به نقطه بین شبکههای مختلف است. این روش به ویژه برای شرکتها و سازمانهایی که دارای شعب متعدد هستند و نیاز به ارتباط مستقیم و امن بین دفاتر خود دارند، بسیار مفید است. با استفاده از تونل GRE، میتوان ترافیک دادهها را به صورت امن و پایدار بین دو نقطه انتقال داد.
وبسایت امداد شبکه با ارائه خدمات پشتیبانی سریع و اجرای حرفهای شبکههای کامپیوتری، شما را در راهاندازی و پیکربندی تونل GRE راهنمایی میکند. از مشاوره تخصصی تا اجرای کامل پروژه، امداد شبکه همواره در کنار شماست تا از امنیت و کارایی شبکههای شما اطمینان حاصل کند.
Mikrotik Router Site-to-Site GRE Tunnel Configuration :GRE (Generic Routing Encapsulation)
ایجاد یک تونل GRE (Generic Routing Encapsulation) بین دو روتر MikroTik یک راه مفید برای برقراری یک ارتباط مستقیم و نقطه به نقطه بین روترها است و به آنها اجازه می دهد به گونه ای که گویی در یک شبکه هستند ارتباط برقرار کنند. در اینجا مراحل راه اندازی یک تونل GRE بین دو روتر MikroTik آمده است:
برای ایجاد تونل IPIP بین ۲ روتر MikroTik، باید موارد زیر را پیکربندی کنیم:
ایجاد رابط
IPIP Tunnel. 2. آدرس IP را به رابط تونل اختصاص دهید.
3. مسیر ثابت را اضافه کنید تا فقط میزبان مورد نظر بتواند به تونل دسترسی داشته باشد.
بیایید این ۳ تنظیمات را برای هر دو روتر پیکربندی کنیم.
در روتر ۱ (HQ-Router)
۱- ایجاد Interface تونل GRE:
۲- آدرس IP را به Interface تونل اختصاص دهید:
۳- Static Rout را اضافه کنید تا فقط میزبان مورد نظر بتواند به تونل دسترسی داشته باشد.
آن ۳ مرحله را دوباره برای Branch-Router تکرار کنید.
۱- ایجاد Interface تونل GRE:
۲- آدرس IP را به Interface تونل اختصاص دهید:
۳- Static Rout را اضافه کنید تا فقط میزبان مورد نظر بتواند به تونل دسترسی داشته باشد.
اعتبار تونل GRE را با پینگ Branch PC از HQ-PC تأیید کنید.
از اسکرین شات بالا متوجه شدیم که HQ-PC می تواند Br-Pc را پینگ کند و بالعکس. بنابراین تونل GRE همانطور که انتظار داشتیم کار می کند. همچنین میتوانیم مسیر را با استفاده از دستور Trace ببینیم.
سناریو مثال عملی برای ایجاد GRE Tunnel
من دوتا میکروتیک دارم میخواهم شبکههای داخلی کامل به هم دسترسی داشته باشندبا GRE-tunnel داشته باشند .
یکی
۱۷۸.۱.۶۴.۱۶۷
و دیگر ۸۱.۱.۱۲۶.۲۳۳
برای ایجاد یک ارتباط کامل بین دو دستگاه MikroTik از طریق GRE Tunnel، مراحل زیر را دنبال کنید:
۱. تنظیمات GRE Tunnel در MikroTik اول (IP: 178.131.64.167)
- به Interfaces بروید و یک GRE Tunnel جدید اضافه کنید.
- تنظیمات زیر را وارد کنید:
- Name: نامی مثل
GRE-Tunnel1
انتخاب کنید. - Remote Address: IP دومین MikroTik یعنی
۸۱.۱.۱۲۶.۲۳۳
. - Local Address: IP این MikroTik یعنی
۱۷۸.۱۳۱.۶۴.۱۶۷
. - Keepalive: یک عدد (مثل ۱۰) انتخاب کنید تا ارتباط بررسی شود.
- Name: نامی مثل
- تنظیمات را ذخیره کنید.
۲. تنظیمات GRE Tunnel در MikroTik دوم (IP: 81.16.126.233)
- به Interfaces بروید و یک GRE Tunnel جدید ایجاد کنید.
- تنظیمات زیر را وارد کنید:
- Name: نامی مثل
GRE-Tunnel2
انتخاب کنید. - Remote Address: IP اولی یعنی
۱۷.۱.۶۴.۱۶۷
. - Local Address: IP این MikroTik یعنی
۸۱.۱.۱.۲۳۳
. - Keepalive: همان عددی که در MikroTik اول استفاده کردید (مثلاً ۱۰).
- Name: نامی مثل
- تنظیمات را ذخیره کنید.
۳. افزودن آدرسهای IP به GRE Tunnel
حالا باید به هر GRE Tunnel یک IP اختصاص دهید تا روتینگ بین آنها برقرار شود:
- در MikroTik اول:
- به IP > Addresses بروید و به GRE-Tunnel1 یک آدرس IP اضافه کنید (مثل
۱۹۲.۱۶۸.۱۰۰.۱/۳۰
).
- به IP > Addresses بروید و به GRE-Tunnel1 یک آدرس IP اضافه کنید (مثل
- در MikroTik دوم:
- به IP > Addresses بروید و به GRE-Tunnel2 یک آدرس IP بدهید (مثلاً
۱۹۲.۱۶۸.۱۰۰.۲/۳۰
).
- به IP > Addresses بروید و به GRE-Tunnel2 یک آدرس IP بدهید (مثلاً
۴. تنظیم مسیر (Route) برای ارتباط کامل
حالا باید روتینگ را برای هر دو دستگاه تنظیم کنید تا هر کدام به شبکههای محلی یکدیگر دسترسی داشته باشند:
- در MikroTik اول:
- به IP > Routes بروید و یک Static Route اضافه کنید:
- Destination Address: شبکه محلی MikroTik دوم (مثلاً
۱۹۲.۱۶۸.۲۰۰.۰/۲۴
). - Gateway: IP طرف مقابل در GRE Tunnel (یعنی
۱۹۲.۱۶۸.۱۰۰.۲
).
- Destination Address: شبکه محلی MikroTik دوم (مثلاً
- به IP > Routes بروید و یک Static Route اضافه کنید:
- در MikroTik دوم:
- به IP > Routes بروید و یک Static Route اضافه کنید:
- Destination Address: شبکه محلی MikroTik اول (مثلاً
۱۹۲.۱۶۸.۱۰.۰/۲۴
). - Gateway: IP طرف مقابل در GRE Tunnel (یعنی
۱۹۲.۱۶۸.۱۰۰.۱
).
- Destination Address: شبکه محلی MikroTik اول (مثلاً
- به IP > Routes بروید و یک Static Route اضافه کنید:
۵. تنظیمات فایروال
در هر دو MikroTik، اطمینان حاصل کنید که قوانین فایروال ترافیک GRE و ارتباط شبکههای محلی از طریق Tunnel را مسدود نمیکند.
پس از انجام این تنظیمات، دو MikroTik از طریق GRE Tunnel به هم متصل خواهند شد و دسترسی کاملی به شبکههای محلی یکدیگر خواهند داشت.
خیر به هم پینگ ندارند
اگر پس از پیکربندی GRE Tunnel، دو MikroTik هنوز به یکدیگر پینگ ندارند، ممکن است مشکل از تنظیمات GRE یا فایروال باشد. مراحل زیر را برای بررسی و رفع مشکل دنبال کنید:
۱. بررسی تنظیمات GRE Tunnel
اطمینان حاصل کنید که تنظیمات GRE Tunnel در هر دو MikroTik بهدرستی انجام شده است. در هر دو روتر:
- در Interfaces > GRE Tunnels بررسی کنید که آدرس IP محلی و ریموت صحیح باشد:
- در MikroTik اول (۱۷۸.۱.۶۴.۱۶۷)، Local Address باید ۱۷۸.۱.۶۴.۱۶۷ و Remote Address باید ۸۱.۱۶.۱۲۶.۲۳۳ باشد.
- در MikroTik دوم (۸۱.۱.۱۲۶.۲۳۳)، Local Address باید ۸۱.۱.۱۲۶.۲۳۳ و Remote Address باید ۱۷۸.۱۳۱.۶۴.۱۶۷ باشد.
۲. بررسی فایروال
ممکن است فایروال در هر دو MikroTik ترافیک GRE را مسدود کرده باشد. برای حل این مشکل:
- به IP > Firewall > Filter Rules بروید.
- یک رول جدید برای اجازه دادن به ترافیک GRE اضافه کنید:
- Chain: Input
- Protocol: GRE (شماره پروتکل ۴۷)
- Action: Accept
- این رول را در هر دو MikroTik اضافه کنید.
۳. بررسی مسیرهای Static
مطمئن شوید که مسیرها بهدرستی پیکربندی شدهاند. در هر روتر:
- به IP > Routes بروید و اطمینان حاصل کنید که یک Static Route برای شبکه محلی روتر مقابل اضافه کردهاید.
- برای MikroTik اول: Destination Address شبکه داخلی MikroTik دوم و Gateway آدرس داخلی GRE (192.168.100.2).
- برای MikroTik دوم: Destination Address شبکه داخلی MikroTik اول و Gateway آدرس داخلی GRE (192.168.100.1).
۴. تست پینگ در دو مرحله
ابتدا از هر MikroTik، IP طرف مقابل در GRE Tunnel را پینگ کنید:
- از MikroTik اول، آدرس ۱۹۲.۱۶۸.۱۰۰.۲ را پینگ بگیرید.
- از MikroTik دوم، آدرس ۱۹۲.۱۶۸.۱۰۰.۱ را پینگ بگیرید.
اگر این پینگ برقرار است، سپس از یک MikroTik به شبکه داخلی MikroTik مقابل پینگ بگیرید تا مطمئن شوید روتینگ کامل شده است.
از فایر وال مشکل دارند
اگر مشکل از تنظیمات فایروال است، مراحل زیر را برای اطمینان از اجازه ترافیک GRE و ICMP در هر دو MikroTik انجام دهید:
۱. اضافه کردن قوانین فایروال برای GRE و ICMP
برای اینکه هر دو MikroTik بتوانند ترافیک GRE و ICMP (پینگ) را بدون مشکل عبور دهند، این قوانین فایروال را به هر دو روتر اضافه کنید.
اجازه ترافیک GRE
- به IP > Firewall > Filter Rules بروید.
- یک رول جدید با تنظیمات زیر اضافه کنید:
- Chain:
input
- Protocol:
۴۷
(برای GRE) - Action:
accept
- Chain:
- این رول را در input اضافه کنید تا اجازه دهد ترافیک GRE به روتر وارد شود.
اجازه ترافیک ICMP (پینگ)
- به IP > Firewall > Filter Rules بروید.
- یک رول جدید با تنظیمات زیر اضافه کنید:
- Chain:
input
- Protocol:
icmp
- Action:
accept
- Chain:
- این رول ICMP را نیز اضافه کنید تا پینگ بین دو روتر مجاز شود.
۲. تنظیمات NAT
مطمئن شوید که رول NAT خاصی که باعث محدودیت ترافیک بین شبکهها میشود، وجود ندارد. در IP > Firewall > NAT، بررسی کنید که رولهای NAT ترافیک بین شبکههای داخلی و GRE را مسدود نمیکنند.
۳. ترتیب قوانین فایروال
در بخش Filter Rules، مطمئن شوید که رولهای accept برای ترافیک GRE و ICMP در اولویت بالاتری نسبت به قوانین مسدودکننده دیگر قرار دارند. اگر رولهای مسدودکننده در بالاترین اولویت باشند، ممکن است این ترافیک مسدود شود.
۴. تست نهایی
پس از اضافه کردن و ترتیب دادن قوانین فایروال، دوباره از MikroTik اول، IP داخلی GRE در MikroTik دوم را پینگ بگیرید و برعکس.
این تغییرات باید دسترسی کامل بین دو روتر از طریق GRE Tunnel را فراهم کند.
رولها را به صورت کامل بنویسید
برای رفع مشکل فایروال و اطمینان از اینکه ترافیک GRE و ICMP به درستی عبور کند، این رولهای فایروال را به صورت کامل در هر دو MikroTik تنظیم کنید.
۱. رولهای فایروال برای اجازه ترافیک GRE (پروتکل ۴۷)
این رولها به فایروال دستور میدهند که ترافیک GRE (پروتکل شماره ۴۷) را اجازه دهد.
در MikroTik اول (IP: 178.131.64.167):
- وارد IP > Firewall > Filter Rules شوید.
- یک رول جدید اضافه کنید:
- Chain:
input
- Protocol:
۴۷
(برای GRE) - Action:
accept
- Comment:
Allow GRE Tunnel
- Chain:
در MikroTik دوم (IP: 81.1.126.233):
- وارد IP > Firewall > Filter Rules شوید.
- یک رول جدید اضافه کنید:
- Chain:
input
- Protocol:
۴۷
(برای GRE) - Action:
accept
- Comment:
Allow GRE Tunnel
- Chain:
۲. رولهای فایروال برای اجازه ترافیک ICMP (پینگ)
این رولها به فایروال اجازه میدهند که پینگ (ترافیک ICMP) از یک MikroTik به دیگری عبور کند.
در MikroTik اول (IP: 178.1.64.167):
- وارد IP > Firewall > Filter Rules شوید.
- یک رول جدید اضافه کنید:
- Chain:
input
- Protocol:
icmp
- Action:
accept
- Comment:
Allow ICMP (Ping)
- Chain:
در MikroTik دوم (IP: 81.16.126.233):
- وارد IP > Firewall > Filter Rules شوید.
- یک رول جدید اضافه کنید:
- Chain:
input
- Protocol:
icmp
- Action:
accept
- Comment:
Allow ICMP (Ping)
- Chain:
۳. اضافه کردن رولهای عمومی برای عبور ترافیک از GRE Tunnel
این رولها برای اجازه دادن به ترافیک GRE از شبکههای داخلی و VPN ضروری هستند.
در MikroTik اول (IP: 178.131.64.167):
- وارد IP > Firewall > Filter Rules شوید.
- یک رول جدید اضافه کنید:
- Chain:
forward
- Src. Address:
۱۹۲.۱۶۸.۸۰.۰/۲۴
(شبکه داخلی MikroTik اول) - Dst. Address:
۱۹۲.۱۶۸.۸۱.۰/۲۴
(شبکه داخلی MikroTik دوم) - Protocol:
۴۷
(برای GRE) - Action:
accept
- Comment:
Allow GRE Tunnel traffic between networks
- Chain:
در MikroTik دوم (IP: 81.16.126.233):
- وارد IP > Firewall > Filter Rules شوید.
- یک رول جدید اضافه کنید:
- Chain:
forward
- Src. Address:
۱۹۲.۱۶۸.۸۱.۰/۲۴
(شبکه داخلی MikroTik دوم) - Dst. Address:
۱۹۲.۱۶۸.۸۰.۰/۲۴
(شبکه داخلی MikroTik اول) - Protocol:
۴۷
(برای GRE) - Action:
accept
- Comment:
Allow GRE Tunnel traffic between networks
- Chain:
۴. ترتیب رولها در فایروال
مطمئن شوید که این رولها در بالاترین اولویت نسبت به سایر قوانین مسدودکننده قرار دارند. برای این کار، پس از افزودن رولها، آنها را به بالای لیست انتقال دهید تا ترافیک GRE و ICMP قبل از دیگر قوانین مسدودکننده بررسی شود.
۵. آزمایش پینگ و ارتباطات GRE
پس از افزودن این رولها، از هر MikroTik به آدرس GRE طرف مقابل پینگ بگیرید و همچنین از شبکه داخلی هر روتر به شبکه داخلی روتر دیگر تست کنید تا مطمئن شوید ارتباط برقرار است.
این رولها باید اجازه دهند که ترافیک GRE و ICMP از طریق فایروال عبور کند و ارتباطات بین دو MikroTik از طریق GRE Tunnel برقرار شود.