VPNs con tuneles ip_gre en linux
Avatar de usuario por pello in January 1, 1970, 1:00 am
Tuneles IP_GRE

Con linux se pueden crear VPNS con tuneles de una forma parecida a los CISCO.
Basicamente se trata de unir dos redes locales usando un interfaz de red virtual que vamos a crear.
En cada extremo se crea un interfaz de tunel. Este interfaz es punto a punto, debe especificarse la ip publica remota a la que conectarse y las ips privadas de cada punto. Una vez metidas las interfaces se pueden meter rutas para hacer que distintas redes se vean a traves de estos tuneles. 
192.168.100.0/24 <-> tunel0 <---------la internet esa---------> tunel0 <-> 192.168.25.0/24
Esto tendriamos que ejecutar en un lado 
# Script para el tunel del primer extremo  
# Nuesra red local es 192.168.100.0 queremos llegar a 192.168.25.0 a traves del tunel
echo Iniciando tunel
/sbin/modprobe ip_gre
/sbin/ip tunnel add tunel0 mode gre remote 213.34.153.24 && echo "Tunel creado"
/sbin/ifconfig tunel0 10.20.0.1 pointopoint 10.20.0.2 mtu 1512 && echo "Interfaz levantado"
/sbin/route add -net 192.168.25.0 netmask 255.255.252.0 gw 10.20.0.2 dev tunel0 && echo "OK"
Veriamos el interfaz asi: 
linuz# ifconfig tunel0
tunel0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.20.0.1  P-t-P:10.20.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP  MTU:1512  Metric:1
          RX packets:2896 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3008 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:472021 (460.9 Kb)  TX bytes:439991 (429.6 Kb)
Y en el otro lado: 
# Script del tunel para el otro extremo
# Nuesra red local es 192.168.25.0 queremos llegar a 192.168.100.0 a traves del tunel
echo Iniciando tunel
/sbin/modprobe ip_gre
/sbin/ip tunnel add tunel0 mode gre remote 234.242.23.84 && echo "Tunel creado"
/sbin/ifconfig tunel0 10.20.0.2 pointopoint 10.20.0.1 mtu 1512 && echo "Interfaz levantado"
/sbin/route add -net 192.168.100.0/24 gw 10.20.0.1 dev tunel0 && echo "OK"
Y en este extremo veriamos el interfaz asi: 
linuz# ifconfig tunel0
tunel0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.20.0.2  P-t-P:10.20.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP  MTU:1512  Metric:1
          RX packets:3008 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2896 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:439991 (429.6 Kb)  TX bytes:472021 (460.9 Kb)
Si hay routers por medio es necesario que el router sea capaz de rutar o dejar pasar el protocolo GRE, en general no hay problema A NO SER QUE EL ROUTER YA TENGA TUNELES CISCO. En ese caso NO pueden convivir a no ser que se metan IPs secundarias publicas en el router. TB en caso de firewall hay que permitir el protocolo 47 (GRE) 
iptables -A INPUT -p 47 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT
Con estos dos comandos tiramos un interfaz virtual 
/sbin/ifconfig tunel0 down
/sbin/ip tunnel del tunel0
4 comments |  PELMAlink |  5774 reads
0 de 0
dejar comentario
Comentarios
#1 avatar de Cloaked Anonymous dice:
.
Buen artículo Estoy mirando las soluciones para linux y he visto 3, la más sencilla me parece openvpn que es muy parecida a la de este artículo. Ahora estoy probando pop-top ya que me permite logear usuarios ( aunque no sea del todo segura), tengo ya el servidor montado pero estoy un poco liado con el enrutamiento. - openvpn - pop-top - fresswan(ipsec)
+-0 de 0
in January 1, 1970, 1:01 am
#2 avatar de Cloaked Anonymous dice:
Conectar dos redes con el mismo rango.
Epa! He seguido tu articulo pero con una pequeña diferencia y he llegado a tener las dos interfaces levantadas y las rutas añadidas. Para configurar la red del otro lado del internet ese he usado ssh y todo bien. El problema es que se me ha quedado bloqueado el acceso al internet ese. Los pines no llegan de un lado al otro y la ventana con la sesión ssh se ha quedado bloqueada, bueno la ventana no, más bien la linea de comandos. La red esta configurada igual pongamos el caso del típico 192.168.0.0 en ambos lados y da la coincidencia de que la ip de los ruters dentro de los dos lados es la misma. Puede ocasionar esto un problema? Tarrino
+-0 de 0
in January 1, 1970, 1:01 am
#3 avatar de Cloaked Anonymous dice:
que bien
poptop es un servidor de pptp muy facil de configurar y mas cuando casi todos tus clientes son XP, les das su user/passwd y listo!!  oalaaa!  ya tienes tu vpn. aunque, yo le voy mas al freeswan, es mas robusto
+-0 de 0
in January 1, 1970, 1:01 am
#4 avatar de Cloaked Anonymous dice:
moduelo ip_gre
Y como sé que tengo ip_gre para ponder cargarlo..???
+-0 de 0
in January 1, 1970, 1:01 am
Show all fields