Les tunnels L2 fonctionnent avec des **bridges** sur la plateforme. Un bridge est un switch virtuel qui regroupe vos tunnels L2 et vos subnets. Vous devez d'abord créer un bridge, puis créer le tunnel en l'associant à ce bridge.
### **3.1. Créer le bridge** 1. Connectez-vous à [panel.tunnel-ip.com](https://panel.tunnel-ip.com) 2. Allez dans **"Bridges"**. 3. Cliquez sur **"Ajouter un Bridge"** et donnez-lui un nom. 4. Validez. Le bridge sera créé sur la plateforme. ### **3.2. Créer le tunnel GRETAP** 1. Allez dans **"Tunnels"** > **"GRETAP"**. 2. Remplissez les informations : - **Nom du tunnel** (ex : `GRETAP_Tunnel`). - **Endpoint** (IP publique du routeur / box, ex : `203.0.113.1`). - **Bridge** : Sélectionnez le bridge créé précédemment. - **MTU** : Taille maximale des paquets (-1 pour laisser la plateforme choisir). - **Clé** (si applicable). 3. Validez. La plateforme s'occupera de configurer le tunnel côté Tunnel-IP.com. 4. Attendez que le tunnel soit créé 5. Cliquez sur "Accéder" pour récupérer les détails du tunnel ### **3.3. Créer le subnet** 1\. Allez dans **"Subnets"** 2\. Copiez le bloc d'IP publique et collez le dans le formulaire 3\. Sélectionnez le **bridge** (et non un tunnel directement) comme destination 4\. Cliquez sur Créer 5\. Une fois son statut à "Actif", la route est correctement installée sur les routeurs de la plateforme**Important :** La première IP du subnet sera utilisée comme **gateway** sur le bridge côté plateforme. Par exemple, pour le subnet `198.51.100.0/29`, la gateway sera `198.51.100.1`.
--- ## **4. Étape 2 : Configurer le tunnel**Contrairement au GRE classique (L3), GRETAP transporte des trames Ethernet (Layer 2). Côté client, vous devez créer l'interface GRETAP puis la **bridger** avec votre interface LAN (ou lui assigner directement une IP du subnet).
### **4.1. Exemple pour Linux (Ubuntu/Debian)** #### **Étapes :** 1. **Créer l'interface GRETAP** : ```bash ip link add gretap0 type gretap remote 172.16.126.33 ip link set gretap0 up ``` - `gretap0` : Nom de l'interface GRETAP. - `remote 172.16.126.33` : IP distante (Tunnel-IP.com). 2. **Option A : Assigner directement une IP publique** : Si vous souhaitez que le routeur lui-même ait une IP publique : ```bash ip addr add 198.51.100.2/29 dev gretap0 ip route add default via 198.51.100.1 dev gretap0 ``` - `198.51.100.2/29` : Une IP du subnet (la première IP .1 est la gateway côté plateforme). - `198.51.100.1` : Gateway (première IP du subnet, côté plateforme). 3. **Option B : Bridger avec une interface LAN** : Si vous souhaitez que des machines sur votre LAN aient directement les IPs publiques : ```bash ip link add br0 type bridge ip link set br0 up ip link set gretap0 master br0 ip link set eth1 master br0 # Interface LAN vers vos machines ``` Les machines connectées à `eth1` pourront alors utiliser les IPs du subnet directement, avec `198.51.100.1` comme gateway. 4. **Activer le forwarding** (si nécessaire) : ```bash echo 1 > /proc/sys/net/ipv4/ip_forward ``` **(Pour rendre permanent, ajoutez* `net.ipv4.ip_forward=1` *dans* `/etc/sysctl.conf`*.)** --- ### **4.2. Exemple pour MikroTik**MikroTik ne supporte pas nativement le GRETAP en tant que tel. Cependant, l'interface EoIP de MikroTik remplit la même fonction (tunnel GRE Layer 2). Si vous souhaitez interopérer avec un GRETAP Linux/Cisco, vous pouvez utiliser un EoIP côté MikroTik avec les mêmes paramètres, ou utiliser un bridge avec un tunnel GRE classique.
#### **Alternative avec EoIP :** 1. **Créer l'interface EoIP** : ```bash /interface/eoip/add remote-address=172.16.126.33 tunnel-id=100 name=eoip-tunnel ``` 2. **Bridger avec une interface LAN** : ```bash /interface/bridge/add name=br-gretap /interface/bridge/port/add bridge=br-gretap interface=eoip-tunnel /interface/bridge/port/add bridge=br-gretap interface=ether2 # Interface LAN ``` 3. **Option : Assigner une IP au bridge** : ```bash /ip/address/add address=198.51.100.2/29 interface=br-gretap /ip/route/add dst-address=0.0.0.0/0 gateway=198.51.100.1 ``` --- ### **4.3. Exemple pour Cisco (IOS/XE)** #### **Étapes :** 1. **Accéder au mode configuration** : ```bash enable configure terminal ``` 2. **Créer l'interface tunnel en mode GRETAP** : ```bash interface Tunnel0 tunnel source 192.168.1.1 # IP locale du routeur tunnel destination 172.16.126.33 # IP distante tunnel mode gre multipoint no shutdown ``` 3. **Créer le Bridge Domain et l'associer** : ```bash bridge-domain 100 member Tunnel0 service-instance 1 member Vlan100 ``` 4. **Configurer l'interface VLAN** : ```bash interface Vlan100 ip address 198.51.100.2 255.255.255.248 no shutdown ``` 5. **Sauvegarder la configuration** : ```bash write memory ```La configuration de bridge L2 sur Cisco varie fortement selon la plateforme (IOS, IOS-XE, NX-OS). Consultez la documentation de votre modèle.
--- ### **4.4. Exemple pour Arista (EOS)** #### **Étapes :** 1. **Accéder au mode configuration** : ```bash enable configure terminal ``` 2. **Créer l'interface tunnel GRE en mode bridge** : ```bash interface Tunnel0 tunnel source 192.168.1.1 tunnel destination 172.16.126.33 tunnel mode gre no shutdown ``` 3. **Bridger le tunnel avec un VLAN** : ```bash interface Tunnel0 switchport access vlan 100 interface Vlan100 ip address 198.51.100.2/29 no shutdown ``` 4. **Sauvegarder la configuration** : ```bash write memory ``` --- ### **4.5. Exemple pour Juniper (JunOS)** #### **Étapes :** 1. **Accéder au mode configuration** : ```bash edit ``` 2. **Créer l'interface GRE et le bridge domain** : ```bash set interfaces gr-0/0/0 tunnel source 192.168.1.1 set interfaces gr-0/0/0 tunnel destination 172.16.126.33 set interfaces gr-0/0/0 family bridge interface-mode trunk set interfaces gr-0/0/0 family bridge vlan-id-list 100 set bridge-domains GRETAP-BD vlan-id 100 set bridge-domains GRETAP-BD routing-interface irb.100 set interfaces irb unit 100 family inet address 198.51.100.2/29 ``` 3. **Appliquer la configuration** : ```bash commit ``` --- ## **5. Étape 3 : Configurer les IPs publiques** ### **5.1. Architecture L2** ``` Internet → [Infrastructure Tunnel-IP.com] → [Bridge plateforme] → (Tunnel GRETAP) → [Votre Bridge/Interface] → [Vos Machines] ``` - La plateforme met la première IP du subnet comme gateway sur le bridge (ex: `198.51.100.1`). - Vos machines utilisent les autres IPs du subnet. - Comme le tunnel est L2, les trames Ethernet passent directement, **pas besoin de NAT ni de routage complexe**. ### **5.2. Attribution des IPs** Un `/29` contient **8 adresses IP** : - `198.51.100.0` : Adresse réseau (inutilisable). - `198.51.100.1` : **Gateway plateforme** (réservée automatiquement). - `198.51.100.2` à `198.51.100.6` : IPs utilisables pour vos machines. - `198.51.100.7` : Adresse broadcast (inutilisable). ### **5.3. Configuration sur les machines** Sur chaque machine qui doit utiliser une IP publique : #### **Linux :** ```bash ip addr add 198.51.100.2/29 dev eth0 ip route add default via 198.51.100.1 ``` #### **MikroTik :** ``` /ip/address/add address=198.51.100.2/29 interface=ether1 /ip/route/add dst-address=0.0.0.0/0 gateway=198.51.100.1 ```Si vous avez bridgé l'interface GRETAP avec votre LAN, les machines peuvent être configurées directement avec les IPs publiques et la gateway `198.51.100.1`, comme si elles étaient sur un réseau local classique.
--- ## **6. Commandes spécifiques par constructeur** | Constructeur | Commande pour vérifier le tunnel | Commande pour vérifier le bridge | |---|---|---| | **Linux** | `ip -d link show gretap0` | `bridge link show` | | **MikroTik** | `/interface eoip print` | `/interface bridge port print` | | **Cisco** | `show interface Tunnel0` | `show bridge-domain` | | **Arista** | `show interface Tunnel0` | `show vlan` | | **Juniper** | `show interfaces gr-0/0/0` | `show bridge-domain` | ## **7. Vérification et Dépannage** ### **7.1. Tester la connectivité** - **Depuis votre routeur / machine** : ```bash ping 198.51.100.1 # Ping de la gateway plateforme ``` - **Vérifier l'interface GRETAP (Linux)** : ```bash ip -d link show gretap0 # Vérifier les paramètres bridge fdb show dev gretap0 # Vérifier la table MAC ``` - **Depuis une machine locale** : ```bash ping 8.8.8.8 # Vérification internet curl -4 ifconfig.me # Vérification de l'IP sortante ``` ### **7.2. Problèmes courants** | **Symptôme** | **Cause Possible** | **Solution** | |---|---|---| | Le tunnel ne répond pas | Protocole 47 bloqué | Vérifiez la redirection sur votre box / configurez une DMZ | | Pas de connectivité L2 | Clé GRE incorrecte | Vérifiez que la clé correspond à celle fournie par la plateforme | | La gateway ne répond pas | Subnet non associé au bridge | Vérifiez que le subnet est bien associé au bridge sur la plateforme | | Latence élevée / Pertes de paquets | MTU trop grande | Réduisez la MTU : `ip link set mtu 1462 dev gretap0` (overhead GRETAP = 38 octets) | | Les IPs publiques ne fonctionnent pas | Mauvaise gateway | Utilisez la première IP du subnet comme gateway (ex: `198.51.100.1`) | --- ## **8. Bonnes Pratiques** 1. **Sécurité** : - Filtrez le trafic entrant avec un pare-feu (ex: `iptables` ou ACL). - GRETAP n'offre aucun chiffrement natif. Envisagez IPsec ou Wireguard en complément si le chiffrement est nécessaire. 2. **Performance** : - Réduisez la MTU à `1462` pour éviter la fragmentation (overhead GRETAP = 38 octets). - Vérifiez que la MTU de votre lien WAN est suffisante pour encapsuler les trames. 3. **Bridging** : - Vous pouvez combiner plusieurs tunnels L2 (VXLAN, EoIP, GRETAP) sur le même bridge, aussi bien sur la plateforme que côté client. - Attention aux boucles de bridge : activez le STP si nécessaire. ---