GRE (Generic Routing Encapsulation) merupakan protokol tunnel yang dikembangkan oleh Cisco Systems untuk encapsulate berbagai macam network layer di dalam virtual point-to-point links atau point-to-multipoint links melalui jaringan internet.
GRE tunnel berguna dalam situasi tertentu, seperti memberikan perlindungan server dari serangan DDOS menggunakan server yang support DDOS Protection.
Prerequisites
Sebelum memulai, setidaknya Anda harus memiliki dua server dengan akses root. Pada panduan ini akan menggunakan Server A dan Server B dengan pengalamatan seperti berikut.
Server A - server tempat semua klient akan terhubung.
- IP: 192.168.160.35
- GRE tunnel internal IP: 10.0.0.1
Server B - server yang menjalankan aplikasi.
- IP: 192.168.160.36
- GRE tunnel internal IP: 10.0.0.2
Module loading
Untuk setting GRE tunnel di linux, Anda perlu memastikan modul ip_gre sudah dimuat di kernel. Eksekusi perintah berikut pada Server A dan Server B.
modprobe ip_gre
lsmod | grep -i gre
Apabila kernel server support GRE maka akan menampilkan output seperti berikut.
# lsmod | grep -i gre
ip_gre 32768 0
ip_tunnel 28672 1 ip_gre
gre 16384 1 ip_gre
Agar modul aktif setelah server reboot.
echo ip_gre > /etc/modules-load.d/ip_gre.conf
Untuk meneruskan lalu lintas masuk dan keluar melalui GRE tunnel akan membutuhkan iptables dan iproute yang seharusnya sudah terinstall di linux.
Jika belum diinstall, gunakan perintah berikut.
yum -y install iproute iptables
Setup GRE tunnels
Aktfikan ip forwarding pada Server A
echo "net.ipv4.ip_forward = 1" > /etc/sysctl.d/ip_forwarding.conf
sysctl -p /etc/sysctl.d/ip_forwarding.conf
Selanjutnya buat interface baru menggunakan GRE tunnel.
ip tunnel add gre1 local 192.168.160.35 remote 192.168.160.36 ttl 255
ip addr add 10.0.0.1/30 dev gre1
ip link set gre1 up
Eksekusi perintah yang sama di Server B dengan menyesuaikan IP.
ip tunnel add gre1 local 192.168.160.36 remote 192.168.160.35 ttl 255
ip addr add 10.0.0.2/30 dev gre1
ip link set gre1 up
Ping test
Lakukan test ping untuk memastikan GRE tunnel berhasil terhubung.
Server A
ping 10.0.0.1
Server B
ping 10.0.0.2
New routes implementation
Setting route untuk memastikan data yang masuk melalui GRE tunnel dapat ditangani dengan benar.
Eksekusi perintah berikut di Server B
echo '100 GRE' >> /etc/iproute2/rt_tables
ip rule add from 10.0.0.0/30 table GRE
ip route add default via 10.0.0.1 table GRE
NAT configuration
NAT digunakan untuk meneruskan trafik melalui GRE tunnel.
Pada Server A eksekusi
iptables -t nat -A POSTROUTING -s 10.0.0.0/30 ! -o gre+ -j SNAT --to-source 192.168.160.35
Lakukan test koneksi keluar pada Server B.
Test pertama dengan perintah curl
curl http://www.cpanel.net/showip.cgi --interface 10.0.0.2
Jika yang tampil IP public server A berarti GRE tunnel sudah berfungsi.
Test kedua dengan perintah ping
# ping -c5 8.8.8.8 -I gre1
PING 8.8.8.8 (8.8.8.8) from 10.0.0.2 gre1: 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=112 time=26.0 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=112 time=26.7 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=112 time=25.9 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=112 time=26.1 ms
64 bytes from 8.8.8.8: icmp_seq=5 ttl=112 time=25.9 ms
Port forwarding
Di Server A jalankan perintah berikut untuk mengizinkan semua trafik masuk dan keluar dari Server B.
iptables -A FORWARD -d 10.0.0.2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 10.0.0.2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Sebagai contoh, untuk forward semua trafik ke Webserver (Port TCP 80) yang ada di Server B. Maka tambahkan aturan firewall NAT berikut di Server A
iptables -t nat -A PREROUTING -d 192.168.160.35 -p TCP -m TCP --dport 80 -j DNAT --to-destination 10.0.0.2
Install nginx di Server B
yum -y install nginx
Kemudian test akses IP Server A melalui browser Anda.
