Hướng dẫn cấu hình GRE Tunnel trên thiết bị Router Mikrotik

Trong các mô hình kết nối mạng hiện đại, GRE Tunnel là giải pháp phổ biến giúp kết nối các mạng LAN ở xa thông qua hạ tầng Internet một cách linh hoạt và hiệu quả. Trên các thiết bị router của MikroTik, GRE Tunnel được đánh giá cao nhờ khả năng cấu hình đơn giản, hỗ trợ nhiều giao thức lớp 3 và phù hợp với cả doanh nghiệp nhỏ lẫn hệ thống mạng phức tạp. Sau đây, Việt Tuấn sẽ giúp bạn tìm hiểu cách cấu hình GRE Tunnel trên Router MikroTik một cách chi tiết, dễ hiểu, giúp bạn nhanh chóng triển khai và tối ưu kết nối giữa các site mạng từ xa.

Giới thiệu GRE Tunnel

• GRE (Generic Routing Encapsulation) là giao thức đường hầm (tunneling protocol) do Cisco phát triển, được Mikrotik hỗ trợ theo chuẩn RFC1701.
• GRE cho phép đóng gói nhiều loại giao thức (IPv4, IPv6) để tạo một kết nối point-to-point qua Internet.
• Mikrotik hỗ trợ GRE như một dạng VPN đơn giản, thường dùng để kết nối site-to-site

Ưu điểm và Nhược Điểm

Ưu điểm:

• Cấu hình đơn giản, dễ triển khai.
• Hỗ trợ cả IPv4 và IPv6.
• Có thể kết hợp với IPsec để tăng bảo mật.
• Cho phép định tuyến linh hoạt giữa các site.

Nhược điểm:

• Không mã hóa mặc định → dữ liệu đi qua Internet có thể bị sniff nếu không kết hợp IPsec.
• Overhead thêm 24 byte (4 byte GRE header + 20 byte IP header) → giảm MTU, dễ gây lỗi nếu không chỉnh MSS.
• Nếu đầu xa bị down, traffic có thể bị blackhole (mất kết nối mà không báo ngay). Mikrotik khắc phục bằng tính năng keepalive.

Giao thức hoạt động

• GRE đóng gói gói tin IP/IPv6.
• Chỉ hỗ trợ EtherType 0x800 (IPv4) và 0x86DD (IPv6).
• Không hỗ trợ Ethernet frame đầy đủ như EoIP.

Điều kiện để Tunnel UP

• Local Address và Remote Address phải reachable (ping được qua Internet).
• Cổng GRE phải Enable.
• Nếu bật keepalive, router sẽ kiểm tra định kỳ để xác nhận tunnel còn hoạt động.
• MTU phải phù hợp (thường 1476 thay vì 1500).

Các bước cấu hình GRE Tunnel trên MikroTik

• Chú Thích Sơ Đồ Giả Lập Trên EVE:
• WAN HCM: 192.168.17.137
• LAN HCM:192.168.10.0/24
• WAN HN: 192.168.17.161
• LAN HN:192.168.20.0/24

Các bước cấu hình chi tiết GRE trên Router MikroTik:

• Name: Đặt tên cho tunnel (ví dụ: HCM-TO-HN). Giúp quản trị viên dễ nhận diện khi có nhiều tunnel.
• Local Address: IP Public hoặc IP WAN của router tại site hiện tại (ví dụ: 192.168.17.137). Đây là địa chỉ nguồn để tạo tunnel.
• Remote Address: IP Public hoặc IP WAN của router đầu xa (ví dụ: 192.168.17.161). Đây là địa chỉ đích của tunnel.
• Keepalive: Thời gian kiểm tra định kỳ để xác nhận tunnel còn hoạt động (ví dụ: 00:00:10 nghĩa là 10 giây). Nếu đầu xa down, router sẽ phát hiện nhanh hơn.

Bước 1: Tạo Interface Tunnel ở chi Nhanh HCM

Interface Tunnel ở chi Nhanh HN

Bước 2: Thêm IP Address vào Tunnel của 2 đầu chi nhánh

• Các bạn vào IP → Addresses → “+”
• Nhập Address: 172.16.1.1/30 (tại site HCM) hoặc 172.16.1.2/30 (tại site HN)
• Chọn Interface: GRE Tunnel vừa tạo (ví dụ: HCM-TO-HN)
• Nhấn OK để lưu

Nhập IP Tunnel ở chi nhánh HCM

Nhập IP Tunnel ở chi nhánh HN

Sau Khi thêm IP Address cho hai đầu Tunnel thì bạn có thể tiến hành ping thử và xem tunnel đã được thiết lập chưa.

Như các bạn có thể thấy đã thông Tunnel. Tiếp theo mình sẽ tiến hành tạo một Routing để các IP LOCAL các chi nhánh biết đường đi đến tới nhau.

Khi chưa có Routing thì các IP LOCAL chưa thể đi qua tunnel để đi đến nhau.

Bước 3: Thêm Static Route qua GRE Tunnel

• Vào IP → Routes → “+” để thêm route mới
• Nhập Dst. Address: mạng LAN đầu xa (ví dụ: 192.168.20.0/24 nếu đang ở site HCM, hoặc 192.168.10.0/24 nếu đang ở site HN)
• Nhập Gateway: IP của đầu kia tunnel (ví dụ: 172.16.1.2 tại HCM, hoặc 172.16.1.1 tại HN)

• Route Trên Chi Nhánh HN:

• Kết Quả các IP Local thông nhau:

Có thể thấy việc cấu hình GRE Tunnel trên router MikroTik không quá phức tạp nhưng đòi hỏi người quản trị mạng phải nắm rõ nguyên lý hoạt động, địa chỉ IP và cách định tuyến phù hợp. Khi được triển khai đúng cách, GRE Tunnel sẽ giúp kết nối các mạng ở xa một cách ổn định, linh hoạt và dễ mở rộng.