bintec Router-Serien - Einfaches Beispiel für das Grundprinzip einer VPN-Verbindung LAN-zu-LAN mit dem Netzprotokoll Generic Routing Encapsulation (GRE)
Aus bintec elmeg Support-Wiki / FAQ
bintec Router-Serien - Einfaches Beispiel für das Grundprinzip einer VPN-Verbindung LAN-zu-LAN mit dem Netzprotokoll Generic Routing Encapsulation (GRE)
Inhaltsverzeichnis
Vorbemerkungen
- Über einen GRE-VPN-Tunnel sollen zwei örtlich getrennt liegende LANs auf möglichst einfache Weise routingtechnisch miteinander verbunden werden.
- Im Beispiel soll mittels der Generic Routing Encapsulation (GRE) eine ganz einfache "LAN-zu-LAN"-Verbindung zwischen zwei bintec Routern
hergestellt werden - einem bintec RS353jw in der Filiale und einem bintec R1202 in der Zentrale, beide mit Firmware Rel.10.1.27.
- Andere Geräte der bintec Router-Serien mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
- Exportieren Sie Ihre aktiven Konfigurationen in externe Dateien, bevor Sie mit Änderungen an der Konfiguration beginnen.
Die Konfiguration erfolgt generell mittels GUI, im Wesentlichen aber im GUI Menü "VPN" unter "GRE".
Die grundsätzliche Funktion von GRE ist sehr gut in der Online-Hilfe und im Manual beschrieben:
"Das Generic Routing Encapsulation (GRE) ist ein Netzwerkprotokoll, das dazu dient, andere Protokolle einzukapseln und so in Form
von IP-Tunneln zu den spezifizierten Empfänger zu transportieren. Die Spezifikation des GRE-Protokolls liegt in zwei Versionen vor:
GRE V.1 zur Verwendung in PPTP-Verbindungen (RFC 2637, Konfiguration im Menü PPTP)
GRE V.0 (RFC 2784) zur allgemeinen Enkapsulierung mittels GRE
Im diesem Menü können Sie ein virtuelles Interface zur Nutzung von GRE V.0 konfigurieren. Der Datenverkehr, der über
dieses Interface geroutet wird, wird dann mittels GRE enkapsuliert und an den spezifizierten Empfänger gesendet."
Die grundsätzlichen inividuellen Parameterbeschreibungen findet man im Kontext-Menü der Online-Hilfe und im Manual.
Auf den bintec Routern soll im Beispiel von initial unkonfiguriertem GRE ausgegangen werden (entspr. Auslieferungszustand).
Achtung:
Die nachfolgende Beschreibung gilt für den Fall, dass sowohl der bintec RS353jw in der Filiale als auch der bintec R1202 in der Zentrale
über eine feste "öffentliche" IP-Adresse verfügen.
Vorgehensweise
Im vorliegenden Beispiel soll das LAN 192.168.0.0/24 eines bintec RS353jw in der Filiale möglichst einfach über einen GRE-basierenden Tunnel mit dem
LAN 192.168.10.0/24 eines bintec R1202 in der Zentrale verbunden werden. Die IP-Adresse "192.168.4.117" soll hierbei als "öffentliche" WAN-IP-Adresse
des bintec R1202 in der Zentrale fungieren und die IP-Adresse "192.168.4.115" als "öffentliche" WAN-IP-Adresse des bintec RS353jw in der Filiale.
Die Konfiguration erfolgt in drei wesentlichen Schritten:
- GRE-Tunnel einrichten in der Filiale
- GRE-Tunnel einrichten in der Zentrale
- NAT-Freigabe einrichten in der Zentrale
GRE-Tunnel einrichten in der Filiale
Das Anlegen des GRE-Tunnels erfolgt im GUI Menü "VPN" unter "GRE" auf dem Tab "GRE-Tunnel" mit Klick auf "NEU".
Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des GRE-Tunnels:
Bild 1: GUI-Menü des bintec RS353jw in der Filiale mit den Beispielwerten des neuen GRE-Tunnels
Die "Lokale GRE-IP-Adresse" ist hier im Beipiel die eigene "öffentliche" WAN-IP-Adresse "192.168.4.115" des bintec RS353jw in der Filiale.
Die "Entfernte GRE-IP-Adresse" ist hier die "öffentliche" WAN-IP-Adresse "192.168.4.117" der Gegenstelle bintec R1202 in der Zentrale.
Die "Lokale IP-Adresse" ist hier im Beispiel die eigene LAN-IP-Adresse "192.168.0.115" des bintec RS353jw in der Filiale und
die "Entfernte IP-Adresse" ist hier das LAN-IP-Subnetz "192.168.10.0"/"255.255.255.0" der Gegenstelle bintec R1202 in der Zentrale.
Achten Sie hier auch darauf einen zu Ihrer Infrastruktur passenden Wert für die "MTU" einzutragen.
GRE-Tunnel einrichten in der Zentrale
Das Anlegen des GRE-Tunnels erfolgt wieder im GUI Menü "VPN" unter "GRE" auf dem Tab "GRE-Tunnel" mit Klick auf "NEU".
Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des GRE-Tunnels:
Bild 2: GUI-Menü des bintec R1202 in der Zentrale mit den Beispielwerten des neuen GRE-Tunnels
Die "Lokale GRE-IP-Adresse" ist hier im Beipiel die eigene "öffentliche" WAN-IP-Adresse "192.168.4.117" des bintec R1202 in der Zentrale.
Die "Entfernte GRE-IP-Adresse" ist hier die "öffentliche" WAN-IP-Adresse "192.168.4.115" der Gegenstelle bintec RS353jw in der Filiale.
Die "Lokale IP-Adresse" ist hier im Beispiel die eigene LAN-IP-Adresse "192.168.0.117" des bintec R1202 in der Zentrale und
die "Entfernte IP-Adresse" ist hier das LAN-IP-Subnetz "192.168.0.0"/"255.255.255.0" der Gegenstelle bintec RS353jw in der Filiale.
Achten Sie hier auch darauf einen zu Ihrer Infrastruktur passenden Wert für die "MTU" einzutragen.
NAT-Freigabe einrichten in der Zentrale
Im bintec R1202 in der Zentrale, der im Beispiel als Responder fungieren soll, ist bei aktiviertem NAT auf
der WAN-Schnittstelle (hier en1-4) eine NAT-Freigabe für das Protokoll "GRE" einzurichten.
Das Anlegen der NAT-Freigabe erfolgt im GUI Menü "Netzwerk" unter "NAT" auf dem Tab "NAT-Konfiguration" mit Klick auf "NEU".
Beispiel für das GUI-Menü für die NAT-Freigabe für das Protokoll "GRE":
Bild 3: GUI-Menü des bintec R1202 in der Zentrale mit der NAT-Freigabe für das Protokoll "GRE"
Kontrolle der Funktion der konfigurierten GRE-Verbindung
- Eine einfache Kontrolle der GRE-Verbindung kann mit Ping von Router zu Router erfolgen und danach auch noch
vom PC im LAN des RS353jw in der Filiale durch den VPN-Tunnel zu einem Host im LAN des R1202 in der Zentrale.
Ping von der (Telent-)Konsole des bintec RS353jw in der Filiale durch den VPN-Tunnel zum bintec R1202 in der Zentrale:
rs353jw_ks:> ping -c3 192.168.10.117 PING 192.168.10.117: 64 data bytes 64 bytes from 192.168.10.117: icmp_seq=0. time=0.367 ms 64 bytes from 192.168.10.117: icmp_seq=1. time=0.420 ms 64 bytes from 192.168.10.117: icmp_seq=2. time=0.419 ms ----192.168.10.117 PING Statistics---- 3 packets transmitted, 3 packets received, 0% packet loss round-trip (ms) min/avg/max = 0.367/0.402/0.420 rs353jw_ks:>
Ping vom PC im LAN des RS353jw in der Filiale durch den VPN-Tunnel zu einem Host im LAN des R1202 in der Zentrale:
D:\TEMP>ping -n 3 192.168.10.119 Ping wird ausgeführt für 192.168.10.119 mit 32 Bytes Daten: Antwort von 192.168.10.119: Bytes=32 Zeit<1ms TTL=61 Antwort von 192.168.10.119: Bytes=32 Zeit<1ms TTL=61 Antwort von 192.168.10.119: Bytes=32 Zeit<1ms TTL=61 Ping-Statistik für 192.168.10.119: Pakete: Gesendet = 3, Empfangen = 3, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms D:\TEMP>
Abschlußbemerkung
- Denken Sie bitte auch daran sich gegebenenfalls auch um eine ordungsgemäße DNS-Namensauflösung zu kümmern.
- Vergessen sie nicht Ihre gewünschten Einstellungen bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
Basis
Erstellt:30.11.2018
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.1.27
KW: 03/2018
kst