GRE o Generic Routing Encapsulation es una tecnología desarrollada por cisco que permite la interconexión de sitios remotos a través de túneles virtuales. GRE es la opción ideal para empresas medianas y grandes que tienen muchas oficinas o sucursales en distintas localidades, y requieren establecer una conexión con la oficina central, Data center, etc... Entre sus principales ventajas, los túneles GRE soportan todo tipo de tráfico que sea Multicast, Broadcast y Unicast.
Otra tecnología que se usa para realizar la misma función es IPsec (IP Security) VPN, seguramente has escuchado hablar de SITE-to-SITE IPsec VPN, básicamente hace casi lo mismo que GRE, pero desafortunadamente solo soporta tráfico Unicast. Su mayor ventaja es que en paralelo a GRE, ofrece seguridad de forma nativa, es decir los paquetes que viajan a través del túnel IPsec están encriptados (cifrados) de extremo a extremo.
IPsec es un marco de referencia o todo un sistema que permite además de interconectar dos sitios, también asegurar que los datos que viajan a través de la red privada virtual están bien protegidos. IPsec ofrece confidencialidad a través de diversos algoritmos de encriptación (cifrado), integridad usando los algoritmos de Hashing, Autenticación usando certificados digitales o una clave secreta compartida.
GRE es ideal para muchos escenarios, pero al no tener mecanismo de cifrado de forma nativa, lo hace muy frágil, es susceptible a ataques (sobre todo si los datos pasan a través de internet) ya que el tráfico no está protegido. Para superar este limitante, se recomienda su uso en combinación con IPsec, es decir encapsular los túneles GRE adentro de IPsec.
A continuación, demostraremos la configuración de GRE y IPsec.
Imagen- 1 Topología
En este laboratorio vamos a interconectar la oficina remota con la oficina central a través de túneles GRE y posteriormente añadiremos IPsec para proteger el tráfico.
Al final de esa actividad, Desktop-1 podrá alcanzar el servidor y PC-1, vista desde Imagen-1
Paso -1
Verificar conectividad entre los enlaces WAN.
Como se pueden observar, hay conectividad a nivel WAN de extremo a extremo. Este paso es muy importante ya que GRE utiliza los enlaces WAN para levantar los túneles.
PASO -2
Creación de los túneles .
OFICINA CENTRAL
OFICINA REMOTA
- Se crea el túnel con el comando Interface tunnel {id}
- Se asigna una IP al túnel, recuerda que los túneles en ambos extremos tienen que estar en la misma subred (10.1.1.0/30)
- IP mtu y TCP adjust, es para evita fragmentación de paquetes ya que GRE agrega un encabezado adicional a los paquetes IP
- Tunnel Source es la IP o la interfaz WAN o el origen como tal, por donde se va a salir el tráfico (ahí se puede usar la IP WAN o la interfaz)
- Tunnel Destination, ahí se debe poner la IP WAN del otro extremo, es decir hacia donde queremos enviar los paquetes (el destino).
Paso-3
Estatus de los túneles y prueba de conectividad entre los túneles
Prueba de conectividad
Como pueden ver hay conectividad entre los túneles, con eso confirmamos que están activos y operando.
Paso-4
Una vez que tengamos los túneles activos, ahora es tiempo de hacer uso de ello para enviar trafico desde la LAN en la oficina remota hacia la LAN de la Oficina Central. Para hacer eso, es necesario indicar a los Routers en ambas puntas, cuando necesitan acceder a la red LAN del otro extremo tienen que enviar el tráfico a través del tunnel 1, en otras palabras, hay que hacer el ruteo.
Ahí pueden usar cualquier protocolo de enrutamiento dinámico o también se puede usar rutas estáticas.
En está ocasión vamos a utilizar rutas estáticas.
CENTRAL
Me gusta leer las rutas estáticas de esa forma, “para llegar a la subred 172.16.1.0 (LAN Remota) con mascará 255.255.255.0 el siguiente salto es la 10.1.1.2 (la IP del tunnel del otro extremo)”.
Hacemos algo similar de lado remoto.
Intenta leerla como yo jeje
Paso – 5
Prueba de conectividad LAN to LAN (central - remota)
Ping desde el Desktop (Ubuntu) de la Oficina remota hacia el servidor de la oficina central.
Prueba de conectividad LAN to LAN (remota - central)
Ping desde PC-1 en la oficina central hacia el desktop de la Oficina Remota.
Prueba de conectividad LAN to LAN (remota - central)
Ping desde PC-1 en la oficina central hacia el desktop de la Oficina Remota.
Como pueden observar las pruebas de conectividad fueron exitosas, ahora vamos a comprobar que los paquetes pasan a través de los túneles, haciendo un traceroute.
Vemos que el tráfico en cuanto llega al Router utiliza la IP del túnel para enviar los paquetes a su destino, todo transparente a la red WAN
Otra forma de verificar eso, es tomando una muestra de tráfico con Wireshark
Así terminamos esa demonstración, espero que te haya gustado y que esa información te fue muy útil. Nos vemos en la segunda parte donde vamos a combinar GRE con IPsec.
Gracias
Thierry PETIT-FRERE
Yorumlar