Board logo

标题: 大地云控基于GRE隧道+端口映射的公网穿透 [打印本页]

作者: linda    时间: 2020-5-15 11:43     标题: 大地云控基于GRE隧道+端口映射的公网穿透

1、GRE隧道功能
     GRE隧道是OS内核通过GRE协议(Generic Routing Encapsulation,通用路由封装,Protocol 47)建立的虚拟路由隧道,无需第三方服务提供商也没有服务进程,只需要有公网IP的两台主机或路由器等网络设备即可互联互通,有GRE和IPIP两种子类型。传统GRE隧道一般由路由器、防火墙、网关实现,大地云控的GRE隧道是在主机上实现的,相当于集成了一台路由器,主要是为了发布主机自身的服务,当然也可以用作网关连接两个内网。
     GRE隧道建立后,主机将获得一个虚拟IP,双方通过虚拟IP通讯;如果是在两个网关上做GRE隧道,则两个网关连接的两个内网还可以通过虚拟IP做目的路由互通。
     GRE隧道建立后,可以启用DNAT端口映射功能,将对端主机某一应用服务的端口映射到本机的某一端口上,可以保护对端主机的IP信息,防止被扫描攻击,也可用于中转被网络隔离的主机。
     GRE隧道没有加密,为了保密,请在GRE隧道中使用https等加密的应用;如果需要全程加密、用户认证或者主机没有公网IP,请使用OpenVPN、IKEV2等VPN;当传统的VPN被阻拦或QoS限流时,可以使用GRE隧道建立虚拟路由达到使用VPN一样的效果。
2、GRE隧道+端口映射的应用举例
I)可以直接使用远端的WEB服务器或结合本地WEB服务器的反向代理功能,将远程WEB应用映射为本机WEB服务的一个分支URL,这样可以利用本机的外网IP、域名、SSL证书、域名备案、WAF、抗DDoS攻击等资源,同时保护远端主机的IP地址等信息,防止被扫描攻击;
II)可以使用WEB服务器的在线代理或WEB代理服务器功能,以对端主机的外网IP进行浏览,可用于中转被网络隔离的主机;
III)可以使用DNS代理服务器,在远程主机的网络中进行域名解析,避免DNS污染、DNS劫持
3、GRE隧道+端口映射的设置举例
      以下是一个设置的例子,本地主机 “本机IP”是“192.168.0.16”,“外网IP”是“61.7.11.212”,有四个“本地发布端口”:1212,1213,1214,1215,远程主机“本机IP”及“外网IP”均是“87.222.38.46”,应用端口是:443,8087,53,8086。GRE隧道建立后,本地主机提供四种服务,实际转发至远程主机,由远程主机提供服务,且出口IP是“87.222.38.46”:
1) WEB应用:https://61.7.11.212:1212 (可能需要使用外网IP地址)
2) HTTPS代理:61.7.11.212 1213/TCP (需要使用域名SSL证书)
3) DNS服务器:61.7.11.212 1214/UDP
  测试命令:dig -p 1214 www.z.com @61.7.11.212
4) HTTP代理:61.7.11.212 1215/TCP

注:公有云中,需要在云服务器的安全组里允许GRE协议。

参考文档:
中神通大地DNS&URL&VPN云控管系统介绍:http://www.trustcomputing.com.cn/cn/index.php/product/dns-url
GRE隧道设置的视频演示:http://www.trustcomputing.com.cn/help/cn/dadi/network/gre.html
大地云控与传统DDNS、内网穿透相比的特点和优势:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1543

[ 本帖最后由 linda 于 2020-5-22 18:47 编辑 ]




欢迎光临 中神通公司交流论坛 (http://trustcomputing.com.cn/bbs/) Powered by Discuz! 6.0.0