1、GRE隧道功能
GRE隧道是OS内核通过GRE协议(Generic Routing Encapsulation,通用路由封装,Protocol 47)建立的虚拟路由隧道,无需第三方服务提供商也没有服务进程,只需要有公网IP的两台主机或路由器等网络设备即可互联互通,有GRE和IPIP两种子类型。传统GRE隧道一般由路由器、防火墙、网关实现,大地云控的GRE隧道是在主机上实现的,相当于集成了一台路由器,主要是为了发布主机自身的服务,当然也可以用作网关连接两个内网。
GRE隧道建立后,主机将获得一个虚拟IP,双方通过虚拟IP通讯;如果是在两个网关上做GRE隧道,则两个网关连接的两个内网还可以通过虚拟IP做目的路由互通。
GRE隧道建立后,可以启用DNAT端口映射功能,将对端主机某一应用服务的端口映射到本机的某一端口上,可以保护对端主机的IP信息,防止被扫描攻击,也可用于中转被网络隔离的主机。
GRE隧道没有加密,为了保密,请在GRE隧道中使用https等加密的应用;如果需要全程加密、用户认证或者主机没有公网IP,请使用OpenVPN、IKEV2等VPN;当传统的VPN被阻拦或QoS限流时,可以使用GRE隧道建立虚拟路由达到使用VPN一样的效果。
2、GRE隧道+端口映射的应用举例
I)可以直接使用远端的WEB服务器或结合本地WEB服务器的反向代理功能,将远程WEB应用映射为本机WEB服务的一个分支URL,这样可以利用本机的外网IP、域名、SSL证书、域名备案、WAF、抗DDoS攻击等资源,同时保护远端主机的IP地址等信息,防止被扫描攻击;
II)可以使用WEB服务器的在线代理或WEB代理服务器功能,以对端主机的外网IP进行浏览,可用于中转被网络隔离的主机;
III)可以使用DNS代理服务器,在远程主机的网络中进行域名解析,避免DNS污染、DNS劫持
3、GRE隧道+端口映射的设置举例
以下是一个设置的例子,本地主机 “本机IP”是“192.168.0.16”,“外网IP”是“61.7.11.212”,有四个“本地发布端口”:1212,1213,1214,1215,远程主机“本机IP”及“外网IP”均是“87.222.38.46”,应用端口是:443,8087,53,8086。GRE隧道建立后,本地主机提供四种服务,实际转发至远程主机,由远程主机提供服务,且出口IP是“87.222.38.46”:
1) WEB应用:
https://61.7.11.212:1212 (可能需要使用外网IP地址)
2) HTTPS代理:61.7.11.212 1213/TCP (需要使用域名SSL证书)
3) DNS服务器:61.7.11.212 1214/UDP
测试命令:dig -p 1214
www.z.com @61.7.11.212
4) HTTP代理:61.7.11.212 1215/TCP
注:公有云中,需要在云服务器的安全组里允许GRE协议。
参考文档:
GRE隧道设置的视频演示:
http://www.trustcomputing.com.cn/help/cn/dadi/network/gre.html
大地云控与传统DDNS、内网穿透相比的特点和优势:
http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1543
更多介绍:
http://www.trustcomputing.com.cn/cn/index.php/product/dns-url
下载地址:
http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1174
[
本帖最后由 linda 于 2022-9-1 15:06 编辑 ]