win10 GRE 虚拟专线连接的配置概述

一、背景

某次，一线反映用户在云桌面登录内网专线时，连接错误，报错：计算机与**服务器之间没有配置为允许基本路由（GRE）协议数据包通过。

二、调试过程

1、GRE（Generic Routing Encapsulation）：通用路由封装协议 (GRE) 是一种常采用的隧道机制使用协议，它使用 IP 作为传输协议，这种隧道提供了在另一种协议中传输某一协议数据包的机制。比如：对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。被承载的协议称为乘客协议，GRE可用于承载不同的乘客协议。隧道表现为虚拟点对点链路（PPTP），具有两个端点，每个端点由隧道源地址和隧道目标地址标识。GRE是虚拟专线网络中（Virtual Private Network）的第三层隧道协议，传输过程中不加密。

下图显示了 GRE 数据包在穿越路由器并进入隧道接口时的封装过程：

2、网络设备配置GRE隧道

配置GRE隧道涉及创建隧道接口，这是一个逻辑接口。然后还必须为隧道接口配置隧道端点。下图是一个配置简单GRE隧道的示例：

上图中，隧道两个接口地质都是 172.16.1.0/24 网络的一部分。

1）第一步是在 R1 和 R2 上创建我们的隧道接口：

由于 GRE 是一种封装协议，我们将最大传输单元 (mtu) 调整为 1400 字节，将最大段大小 (mss) 调整为 1360 字节。因为大多数传输 MTU 是 1500 字节，并且我们因为 GRE 而增加了开销，所以我们必须减少 MTU 以解决额外的开销。设置 1400 是一种常见做法，可确保将不必要的数据包碎片保持在最低限度。

配置完成后，两个隧道端点可以看到对方，并可以使用来自一端的 icmp echo 来进行验证了。

2）配置对方路由信息：

除非在每个路由器上都配置了路由，否则任一网络上的工作站仍然无法到达另一端。这里我们将在两个路由器上配置静态路由。

R1(config)# ip route 192.168.2.0 255.255.255.0 172.16.1.2

R2(config)# ip route 192.168.1.0 255.255.255.0 172.16.1.1

这样，两个网络（192.168.1.0/24 和 192.168.2.0/24）就都能够通过 GRE 隧道自由地相互通信了。

3、IP筛选器（过滤包）检查

公网接口上启用了IP路由，如果没有配置IP筛选器，那么该接口上接受的任何通信都将被路由，这可能导致将不必要的外部通信转发到内网而带来安全问题。对基于PPTP的VPN来说，应该限制PPTP以外的所有通信，这就需要在与公网接口上配置基于PPTP的出入站筛选器，以保障只有PPTP通信通过该接口

用于PPTP通信的入站筛选器共3个；出站筛选器也是3个，源和目标正好对调。只有所有筛选器都设置正确，PPTP筛选器才是安全的。配置示例如下：

PPTP使用TCP端口号1723作为连接控制通道，IP标识号为47作为数据通道，PPTP需tcp端口1723和GRE来共同完成工作，缺一不可。将端口设置为0，则表示任何通道。

4、 win10 客户端专线配置

windows 10中内网专线连接如下配置：



验证桌面网络到VPN-server网络：telnet v_server_ip 1723，测试正常。

5、PPTP 专线 在NAT后的网络里只能单台拨号成功

因对PPTP而言，该类专线连接时基于TCP的，封装在TCP报文中，可以穿越边界的NAT设备；但之后在传输数据报文是封装在GRE中的，故需要NAT支持GRE协议。相关经验表明，NAT内的局域网PPTP客户端，多台客户端发送的PPTP控制连接 Call ID经常相同，二CallID是客户端和服务端的标识，它们是成对存在的。下面我们看下PPTP的拨号流程。

windows客户端报错误代码：806