CentOS 7: настройка IPIP-туннеля за 5 минут

Возникают ситуации, в которых необходимо соединить удаленные UNIX-сервера туннелем. Например, для того, чтобы получить доступ к удаленной внутренней сети, соединить внутренние сети серверов виртуализации или же необходимо предоставить локальным пользователям определенные сервисы из удаленной сети. Одним из самых простых в настройке туннелей является IPIP-туннель. О его настройке и пойдет речь в этой заметке.

Стоит отметить, что удобство использования IPIP-туннеля состоит еще в том, что его можно настроить как на UNIX-системах, так и на роутерах Mikrotik или Cisco. В дистрибутиве Centos7 уже имеется все необходимое для создания IPIP-туннеля. Служебные скрипты для настройки сети и сами конфигурационные файлы хранятся по традиции в каталоге /etc/sysconfig/network-scripts/.

Итак, обозначим исходные данные, которые необходимы для настройки туннеля.
Имеем два сервера виртуализации под управлением Centos7 со следующими внешними IP-адресами:

srv-kvm1 WAN: 111.112.113.114
srv-kvm2 WAN: 121.122.123.124

На каждом сервере имеется виртуальная локальная сеть:

srv-kvm1 LAN: 10.1.1.0/24
srv-kvm2 LAN: 10.1.2.0/24

И нам необходимо соединить эти виртуальные локальные сети посредством IPIP-туннеля со следующими параметрами:

srv-kvm1 IPIP: 10.10.1.1/30
srv-kvm2 IPIP: 10.10.1.2/30

Создаем файл ifcfg-tun0 на сервере srv-kvm1 со следующим содержимым:

DEVICE=tun0
MY_OUTER_IPADDR=111.112.113.114
PEER_OUTER_IPADDR=121.122.123.124
MY_INNER_IPADDR=10.10.1.1/30
PEER_INNER_IPADDR=10.10.1.2/30
TYPE=IPIP
TTL=255
ONBOOT=yes

На сервере srv-kvm2 создаем такой же файл, с зеркальной заменой адресов:

DEVICE=tun0
MY_OUTER_IPADDR=121.122.123.124
PEER_OUTER_IPADDR=111.112.113.114
MY_INNER_IPADDR=10.10.1.2/30
PEER_INNER_IPADDR=10.10.1.1/30
TYPE=IPIP
TTL=255
ONBOOT=yes

Думаю, описывать содержимое этих файлов не стоит, и так все понятно :)

Теперь необходимо создать таблицу маршрутизации для нашего интерфейса на каждом сервере. В файл /etc/iproute2/rt_tables добавляем строку:

100    tabletun0

Опишем правила маршрутизации. На сервере srv-kvm1 создаем файл rule-tun0 cо следующим содержимым:

from 10.10.1.1 lookup tabletun0

На втором сервере:

from 10.10.1.2 lookup tabletun0

Опишем необходимые маршруты. Для этого на сервере srv-kvm1 в файле route-tun0 запишем:

default dev tun0 table tabletun0
10.1.2.0/24 dev tun0

На втором сервере:

default dev tun0 table tabletun0
10.1.1.0/24 dev tun0

В настройках iptables каждого сервера нужно разрешить принимать протокол ipip.
На srv-kvm1:

# iptables -A INPUT -p ipip -s 121.122.123.124 -j ACCEPT

На srv-kvm2:

# iptables -A INPUT -p ipip -s 111.112.113.114 -j ACCEPT

Поднимаем интерфейс командой:

# ifup tun0

На этом настройка закончена. В результате нам удалось соединить две виртуальные локальные сети IPIP-туннелем, который будет автоматически подниматься после перезагрузки серверов со всеми необходимыми маршрутами.

• Опубликовано: 15 августа 2016
• Обновлено: 04 августа 2017
• Рубрика: GNU/Linux