Home [ITA] Creazione di un tunnel GRE su Linux
Post
Cancel

[ITA] Creazione di un tunnel GRE su Linux

Introduzione

Il Generic Routing Encapsulation (GRE) è un protocollo di rete progettato da Cisco Systems che permette di incapsulare una grande varietà di protocolli di terzo livello all’interno di un collegamento virtuale punto-a-punto.

Un tunnel GRE è utile in determinate situazioni, come proteggere un server senza una protezione DDoS utilizzandone un altro che invece la possiede o per permettere ad un’applicazione che utilizza solo IPv4 di accettare anche IPv6.

Prerequisiti

Prima di tutto, dovremo avere due server con accesso amministrativo. I due server che andremo ad utilizare verranno chiamati Server A e Server B e avranno le seguenti caratteristiche:

  • Server A - Il server alla quale i client si connetteranno
    • IP: 198.51.100.1
    • IP interno del tunnel GRE: 10.0.0.1
  • Server B - Il server sulla quale verranno eseguite le applicazioni
    • IP: 203.0.113.1
    • IP interno del tunnel GRE: 10.0.0.2

1 - Caricamento del modulo

Per creare un tunnel GRE su Linux dovremo avere il modulo ip_gre caricato nel kernel. Per essere sicuri che sia caricato utilizziamo:

1
2
sudo modprobe ip_gre
lsmod | grep gre

E dovremmo vedere:

1
2
ip_gre                 #####  0
gre                    #####  1 ip_gre

Se ci sarà scritto qualcos’altro è possibile che il kernel non supporti il tunnelling GRE.

Per far passare il traffico all’interno del tunnel GRE utilizzeremo iptables e iproute2 che dovrebbero essere già presenti nella maggior parte delle distribuzioni Linux. Nel caso non fossero installate possiamo utilizzare il seguente comando

per le distribuzioni derivate da Debian:

1
sudo apt install iptables iproute2

per le distribuzioni derivate da Red Hat:

1
sudo yum install iptables iproute2

2 - Creazione del tunnel

Per prima cosa dobbiamo creare il nostro tunnel.

Sul Server A eseguiamo questi comandi per abilitare l’ip forwarding:

1
2
sudo echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sudo sysctl -p

Ora creiamo una nuova interfaccia di rete che verrà utilizzata per il tunnel GRE:

1
2
3
sudo ip tunnel add gre1 mode gre local 198.51.100.1 remote 203.0.113.1 ttl 255
sudo ip addr add 10.0.0.1/30 dev gre1
sudo ip link set gre1 up

Successivamente facciamo la stessa cosa sul Server B cambiando gli IP:

1
2
3
sudo ip tunnel add gre1 mode gre local 203.0.113.1 remote 198.51.100.1 ttl 255
sudo ip addr add 10.0.0.2/30 dev gre1
sudo ip link set gre1 up

2.1 - Ping Test

Sul Server A utilizziamo:

1
ping 10.0.0.2

E sul Server B utilizziamo:

1
ping 10.0.0.1

Se il ping funziona allora abbiamo creato correttamente il tunnel GRE.

3 - Aggiunta nuove Route

Le route sono necessarie per fare in modo che tutti i dati che passano dal tunnel GRE vengano gestiti correttamente.

Sul Server B eseguiamo:

1
2
3
sudo echo '100 GRE' >> /etc/iproute2/rt_tables
sudo ip rule add from 10.0.0.0/30 table GRE
sudo ip route add default via 10.0.0.1 table GRE

4 - Configurazione NAT

Il NAT è utilizzato per passare i dati da un capo all’altro del tunnel GRE.

Sul Server A eseguiamo:

1
iptables -t nat -A POSTROUTING -s 10.0.0.0/30 ! -o gre+ -j SNAT --to-source 198.51.100.1

Per provare la connessione in uscita eseguiamo sul Server B questi comandi:

per le distribuzioni derivate da Debian:

1
sudo apt install curl

per le distribuzioni derivate da Red Hat:

1
sudo yum install curl

e successivamente:

1
curl http://www.cpanel.net/showip.cgi --interface 10.0.0.2

A questo punto dovremmo leggere l’IP del Server A.

5 - Inoltro delle porte

Sul Server A eseguiamo questi comandi per consentire a tutti i dati provenienti e indirizzati al Server B di passare:

1
2
sudo iptables -A FORWARD -d 10.0.0.2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -s 10.0.0.2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Successivamente, vogliamo inoltrare tutti i dati in transito su determinate porte dal Server A al Server B.

Eseguiamo sul Server A:

1
sudo iptables -t nat -A PREROUTING -d 198.51.100.1 -p PROTO -m PROTO --dport PORT -j DNAT --to-destination 10.0.0.2

rimpiazzando PORT e PROTO con la porta e il protocollo (TCP o UDP) che ci interessa.

Per esembio, per inoltrare tutti i dati relativi ad un Webserver (Porta TCP 80) utilizzeremo:

1
sudo iptables -t nat -A PREROUTING -d 198.51.100.1 -p TCP -m TCP --dport 80 -j DNAT --to-destination 10.0.0.2

Dobbiamo farlo per tutte le porte che vorremo utilizzare.

6 - Rendere il tunnel persistente

Al riavvio del server la maggior parte delle cose che abbiamo fatto verrà cancellata. Per assicurarsi che il tunnel GRE continui a funzionare anche dopo un riavvio dovremo modificare il file /etc/rc.local aggiungendo tutti i comandi che abbiamo fatto (ad eccezione del comando “echo”!) prima del exit 0.

Conclusione

Ora, se ci connettiamo al Server A utilizzando le porte che abbiamo configurato (ad esempio la porta TCP 80) andremo in realtà a connetterci al Server B senza rendercene conto.

Nota: se utilizzi CSF per gestire iptables potrebbe essere necessario inserire tutti i comandi relativi a iptables che abbiamo fatto nel file /etc/csf/csfpost.sh e inserire entrambi gli IP dei server (sia quello pubblico che quello interno del tunnel) nel file /etc/csf/csf.allow.

License: MIT

Versione ufficiale

This post is licensed under CC BY 4.0 by the author.