ایجاد ارتباط امن بین شعب مختلف یک سازمان، از وظایف اصلی مدیران شبکه به شمار میرود. این ارتباط امن، که اغلب از طریق ایجاد تانل بین شبکههای مختلف برقرار میشود، امکان تبادل دادهها و منابع را به صورت ایمن و رمزنگاری شده فراهم میکند. در ایران، تجهیزات شبکۀ دو برند فورتیگیت و میکروتیک (به ویژه روترها و فایروالها) به طور گسترده مورد استفاده قرار میگیرند. به همین دلیل، یک سناریوی رایج ایجاد تانل امن بین این دو دستگاه است.
در این مطلب، به بررسی چگونگی پیکربندی یک تانل GRE (Generic Routing Encapsulation) بین یک فایروال فورتیگیت و یک روتر میکروتیک میپردازیم.
GRE یک پروتکل تانلینگ است. این پروتکل، بستههای اصلی را درون یک بسته GRE کپسوله میکند و آنها را از طریق شبکه حمل میکند. در مقصد، بسته GRE باز شده و بسته اصلی استخراج میشود.
چرا از GRE استفاده کنیم؟
GRE مزایای متعددی دارد که آن را به گزینهای مناسب برای ایجاد تانل بین دستگاههای مختلف تبدیل میکند:
- سادگی: پیکربندی GRE نسبتاً ساده است و نیاز به تنظیمات پیچیدهای ندارد.
- پشتیبانی گسترده: GRE توسط اکثر دستگاههای شبکه، از جمله فورتیگیت و میکروتیک، پشتیبانی میشود.
- انعطافپذیری: GRE میتواند برای انتقال انواع پروتکلهای شبکه، از جمله IPv4 و IPv6، استفاده شود.
مراحل پیکربندی تانل GRE بین فورتی گیت و میکروتیک
برای ایجاد تانل GRE بین یک فایروال FortiGate و یک روتر میکروتیک، مراحل زیر را دنبال میکنیم:
1. پیکربندی فورتیگیت:
- وارد رابط کاربری فورتیگیت شوید.
- تانل GRE را از طریق کامند ایجاد نمایید.
config system gre-tunnel
edit “MyTun”
set interface “WAN1”
set remote-gw static-ip-in-mikrotik
set local-gw static-ip-in-fortigate
next
end
- به اینترفیسهای تانل GRE میبایست IP اختصاص دهید.
- تنظیمات مربوط به مسیریابی (Routing) را برای هدایت ترافیک به سمت تانل GRE پیکربندی کنید.
2. پیکربندی میکروتیک:
- وارد رابط کاربری میکروتیک شوید.
- به بخش Interfaces بروید.
- یک رابط جدید از نوع GRE Tunnel ایجاد کنید.
- یک نام برای تانل انتخاب کنید.
- آدرس IP رابط تانل در میکروتیک و آدرس IP انتهای دیگر تانل (در فورتیگیت) را مشخص کنید. این دو آدرس باید در یک زیرشبکه باشند و با آدرسهای مشخص شده در فورتیگیت مطابقت داشته باشند.
- آدرس IP رابط فیزیکی میکروتیک که تانل از طریق آن برقرار میشود را مشخص کنید.
- تنظیمات مربوط به مسیریابی (Routing) را برای هدایت ترافیک به سمت تانل GRE پیکربندی کنید.
با انجام این مراحل، میتوانید به راحتی بین فایروال فورتیگیت و روتر میکروتیک، یک تانل GRE ایجاد کنید و ارتباط امن بین شعب مختلف سازمان خود را برقرار کنید.
** به این موارد توجه داشته باشید:
- اطمینان حاصل کنید که فایروالهای بین فورتیگیت و میکروتیک، ترافیک GRE (پروتکل 47) را مسدود نمیکنند.
- برای افزایش امنیت، میتوانید از IPSec برای رمزنگاری ترافیک GRE استفاده کنید. با این حال، در این مطلب، تنها به پیکربندی GRE پرداختهایم.
- تنظیمات مسیریابی (Routing) بسیار مهم هستند. بدون پیکربندی صحیح مسیریابی، ترافیک به درستی از طریق تانل GRE منتقل نخواهد شد.
- برای تست اتصال، دستور ping را از یک دستگاه در شبکه پشت فورتیگیت به یک دستگاه در شبکه پشت میکروتیک و بالعکس استفاده کنید.