Jak/kam ulozit nahozeny GRE tunel, aby po restartu fungoval?

Dne 2014-10-23 02:48

Na netu jsem nasel funkcni konfiguraci GRE tunnelu:

OpenWRT# ip tunnel add tunnel0 mode gre local 1.2.3.4 remote 2.3.4.5 ttl 64
OpenWRT# ip link set tunnel0 up
OpenWRT# ip addr add 192.168.254.2/30 dev tunnel0
OpenWRT# ip route add 192.168.20.0/24 dev tunnel0

Tunnel funguje, ale je to pouze v pameti, uz jsem nenasel jak tuto konfiguraci zapsat do konfiguracniho souboru /etc/config/network.
Tak aby i po restartu routeru se tunnel nahodil?

Take jsem si vsiml, ze ve vypisu prikazu "ip link, ip addr" je uz predefinovany interface "gre0", ale kde v konfiguraci je?
Po nahozeni se k tomuto interfacu priradi ip adresy, ktere jsem zadal jako local a remote v prikazu "ip tunnel add ..."

V souboru /etc/config/firewall jsem pridal:

config zone
option name 'tunnel'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option network 'tunnel0'
config forwarding
option src 'tunnel0'
option dest 'wan'

Ale funguje to jednim smerem. Tj. tunel funguje obema smery pouze kdyt nejdrive propingnu z turrisu ven az terpve potom funguje ping i z druhe strany. Podle mne se jeste musi povolit na turrisu i prichozi provoz, nevite kde a jak?

Od Ondřej Caletka (>>>)

Dne 2014-10-23 14:25

Současná verze TurrisOS podporu pro GRE tunely neobsahuje, nezbývá než tedy tunel vytvořit ručně, třeba příkazem ip tunnel add v souboru /etc/rc.local.

K fyzickému rozhraní tunnel0 je potřeba nadefinovat nějaké high-level rozhraní v /etc/config/network, kterému bude rozumět konfigurační systém.

config interface gretunnel
    option proto none
    option ifname tunnel0
    option ipaddr 192.168.254.2
    …

config routre gretunnelroute
     option interface gretunnel
     option target 192.168.20.0/24

V konfiguraci firewallu pak musíte použít high-level název rozhraní, tedy gretunnel. Aby tunel hned fungoval oběma směry, je potřeba povolit příchozí provoz protokolem GRE z WAN rozhraní, tedy v /etc/config/firewall:

config rule
   option name 'Allow incoming GRE'
   option src 'wan'
   option family 'ipv4'
   option proto 'gre'
   option target 'ACCEPT'

Od RadekS

Dne 2014-10-23 23:37

Díky za odpověď, funguje to.

Jen mi není jasné, co znamená ve výpisu z příkazu "ip addr show" rozhraní "gre0"?
7: gre0: <NOARP> mtu 1476 qdisc noop state DOWN group default
link/gre 1.2.3.4 brd 2.3.4.5

Toto rozhraní "gre0" tam je od začátku, tak mi přijde, že tam podpora pro gre je? Ale to se asi mílím, že?

A pak tam je ještě vytvořené moje rouzhraní, přes které GRE tunnel funguje:
12: gretun0@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1476 qdisc noqueue state UNKNOWN group default
link/gre 1.2.3.4 peer 2.3.4.5
inet 192.168.254.2/30 brd 192.168.254 scope global gretun0
valid_lft forever preferred_lft forever
inet6 fe80::200:5efe:6d48:ec6/64 scope link
valid_lft forever preferred_lft forever

Od Ondřej Caletka (>>>)

Dne 2014-10-24 12:08

V Linuxu, který TurrisOS pohání, samozřejmě podpora pro GRE je, jinak byste ho tam nedostal ani kladivem. Jde o to, že není podpora pro vytváření GRE tunelů v ovládacím softwaru, který je součástí TurrisOS, tak, aby se tunel dal nakonfigurovat jako všechno ostatní v /etc/config/network. Mimochodem, tato podpora byla nedávno přidána do OpenWRT, takže je pravděpodobné, že se objeví v některé budoucí aktualizaci.

Rozhraní gre0 je nejspíš zapnuté kvůli kompatibilitě s ifconfigem, nemusíte si ho všímat.

Od RadekS

Dne 2014-12-03 10:25

Jen drobnost, jak se dá označit téma za vyřešené? Všiml jsem si, že v přehledu je zelená fajfka u nějakého tematu, která označuje téma jako vyřešeno, ale nemohu to nikde najít.

Od Michal Vaner (>>)

Dne 2014-12-03 11:01

To mohou dělat moderátoři. A ti to dělají, jak zrovna mají čas a jak jim to přijde, takže to občas trochu vázne, no.