bintec Router-Serien - Einfaches Beispiel für das Grundprinzip einer VPN-Verbindung LAN-zu-LAN mit dem Netzprotokoll Generic Routing Encapsulation (GRE)

Version vom 30. November 2017, 11:58 Uhr von Klaus Stavemann (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „'''<big>bintec Router-Serien - Einfaches Beispiel für das Grundprinzip einer VPN-Verbindung LAN-zu-LAN mit dem Netzprotokoll Generic Routing Encapsulation (GR…“)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Version vom 30. November 2017, 11:58 Uhr von Klaus Stavemann (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „'''<big>bintec Router-Serien - Einfaches Beispiel für das Grundprinzip einer VPN-Verbindung LAN-zu-LAN mit dem Netzprotokoll Generic Routing Encapsulation (GR…“)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

bintec Router-Serien - Einfaches Beispiel für das Grundprinzip einer VPN-Verbindung LAN-zu-LAN mit dem Netzprotokoll Generic Routing Encapsulation (GRE)

Inhaltsverzeichnis

Vorbemerkungen

  • Über einen GRE-VPN-Tunnel sollen zwei örtlich getrennt liegende LANs auf möglichst einfache Weise routingtechnisch miteinander verbunden werden.
  • Im Beispiel soll mittels der Generic Routing Encapsulation (GRE) eine ganz einfache "LAN-zu-LAN"-Verbindung zwischen zwei bintec Routern

hergestellt werden - einem bintec RS353jw in der Filiale und einem bintec R1202 in der Zentrale, beide mit Firmware Rel.10.1.27.

  • Andere Geräte der bintec Router-Serien mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
  • Exportieren Sie Ihre aktiven Konfigurationen in externe Dateien, bevor Sie mit Änderungen an der Konfiguration beginnen.

Die Konfiguration erfolgt generell mittels GUI, im Wesentlichen aber im GUI Menü "VPN" unter "GRE".

Die grundsätzliche Funktion von GRE ist sehr gut in der Online-Hilfe und im Manual beschrieben:
"Das Generic Routing Encapsulation (GRE) ist ein Netzwerkprotokoll, das dazu dient, andere Protokolle einzukapseln und so in Form
von IP-Tunneln zu den spezifizierten Empfänger zu transportieren. Die Spezifikation des GRE-Protokolls liegt in zwei Versionen vor:
GRE V.1 zur Verwendung in PPTP-Verbindungen (RFC 2637, Konfiguration im Menü PPTP)
GRE V.0 (RFC 2784) zur allgemeinen Enkapsulierung mittels GRE
Im diesem Menü können Sie ein virtuelles Interface zur Nutzung von GRE V.0 konfigurieren. Der Datenverkehr, der über
dieses Interface geroutet wird, wird dann mittels GRE enkapsuliert und an den spezifizierten Empfänger gesendet."

Die grundsätzlichen inividuellen Parameterbeschreibungen findet man im Kontext-Menü der Online-Hilfe und im Manual.
Auf den bintec Routern soll im Beispiel von initial unkonfiguriertem GRE ausgegangen werden (entspr. Auslieferungszustand).

Achtung:
Die nachfolgende Beschreibung gilt für den Fall, dass sowohl der bintec RS353jw in der Filiale als auch der bintec R1202 in der Zentrale
über eine feste "öffentliche" IP-Adresse verfügen.

Vorgehensweise

Im vorliegenden Beispiel soll das LAN 192.168.0.0/24 eines bintec RS353jw in der Filiale möglichst einfach über einen GRE-basierenden Tunnel mit dem
LAN 192.168.10.0/24 eines bintec R1202 in der Zentrale verbunden werden. Die IP-Adresse "192.168.4.117" soll hierbei als "öffentliche" WAN-IP-Adresse
des bintec R1202 in der Zentrale fungieren und die IP-Adresse "192.168.4.115" als "öffentliche" WAN-IP-Adresse des bintec RS353jw in der Filiale.

Die Konfiguration erfolgt in drei wesentlichen Schritten:

  1. GRE-Tunnel einrichten in der Filiale
  2. GRE-Tunnel einrichten in der Zentrale
  3. NAT-Freigabe einrichten in der Zentrale

GRE-Tunnel einrichten in der Filiale

Das Anlegen des GRE-Tunnels erfolgt im GUI Menü "VPN" unter "GRE" auf dem Tab "GRE-Tunnel" mit Klick auf "NEU".

Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des GRE-Tunnels:

GRE-Tunnel Filiale

Bild 1: GUI-Menü des bintec RS353jw in der Filiale mit den Beispielwerten des neuen GRE-Tunnels

Die "Lokale GRE-IP-Adresse" ist hier im Beipiel die eigene "öffentliche" WAN-IP-Adresse "192.168.4.115" des bintec RS353jw in der Filiale.
Die "Entfernte GRE-IP-Adresse" ist hier die "öffentliche" WAN-IP-Adresse "192.168.4.117" der Gegenstelle bintec R1202 in der Zentrale.
Die "Lokale IP-Adresse" ist hier im Beispiel die eigene LAN-IP-Adresse "192.168.0.115" des bintec RS353jw in der Filiale und
die "Entfernte IP-Adresse" ist hier das LAN-IP-Subnetz "192.168.10.0"/"255.255.255.0" der Gegenstelle bintec R1202 in der Zentrale.
Achten Sie hier auch darauf einen zu Ihrer Infrastruktur passenden Wert für die "MTU" einzutragen.

GRE-Tunnel einrichten in der Zentrale

Das Anlegen des GRE-Tunnels erfolgt wieder im GUI Menü "VPN" unter "GRE" auf dem Tab "GRE-Tunnel" mit Klick auf "NEU".

Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des GRE-Tunnels:

GRE-Tunnel Zentrale

Bild 2: GUI-Menü des bintec R1202 in der Zentrale mit den Beispielwerten des neuen GRE-Tunnels

Die "Lokale GRE-IP-Adresse" ist hier im Beipiel die eigene "öffentliche" WAN-IP-Adresse "192.168.4.117" des bintec R1202 in der Zentrale.
Die "Entfernte GRE-IP-Adresse" ist hier die "öffentliche" WAN-IP-Adresse "192.168.4.115" der Gegenstelle bintec RS353jw in der Filiale.
Die "Lokale IP-Adresse" ist hier im Beispiel die eigene LAN-IP-Adresse "192.168.0.117" des bintec R1202 in der Zentrale und
die "Entfernte IP-Adresse" ist hier das LAN-IP-Subnetz "192.168.0.0"/"255.255.255.0" der Gegenstelle bintec RS353jw in der Filiale.
Achten Sie hier auch darauf einen zu Ihrer Infrastruktur passenden Wert für die "MTU" einzutragen.

NAT-Freigabe einrichten in der Zentrale

Im bintec R1202 in der Zentrale, der im Beispiel als Responder fungieren soll, ist bei aktiviertem NAT auf
der WAN-Schnittstelle (hier en1-4) eine NAT-Freigabe für das Protokoll "GRE" einzurichten.
Das Anlegen der NAT-Freigabe erfolgt im GUI Menü "Netzwerk" unter "NAT" auf dem Tab "NAT-Konfiguration" mit Klick auf "NEU".

Beispiel für das GUI-Menü für die NAT-Freigabe für das Protokoll "GRE":

NAT-Freigabe für Protokoll "GRE"

Bild 3: GUI-Menü des bintec R1202 in der Zentrale mit der NAT-Freigabe für das Protokoll "GRE"

Kontrolle der Funktion der konfigurierten GRE-Verbindung

  • Eine einfache Kontrolle der GRE-Verbindung kann mit Ping von Router zu Router erfolgen und danach auch noch
 vom PC im LAN des RS353jw in der Filiale durch den VPN-Tunnel zu einem Host im LAN des R1202 in der Zentrale.

Ping von der (Telent-)Konsole des bintec RS353jw in der Filiale durch den VPN-Tunnel zum bintec R1202 in der Zentrale:

rs353jw_ks:> ping -c3 192.168.10.117
PING 192.168.10.117: 64 data bytes
64 bytes from 192.168.10.117: icmp_seq=0. time=0.367 ms
64 bytes from 192.168.10.117: icmp_seq=1. time=0.420 ms
64 bytes from 192.168.10.117: icmp_seq=2. time=0.419 ms
----192.168.10.117 PING Statistics----
3 packets transmitted, 3 packets received, 0% packet loss
round-trip (ms)  min/avg/max = 0.367/0.402/0.420
rs353jw_ks:>

Ping vom PC im LAN des RS353jw in der Filiale durch den VPN-Tunnel zu einem Host im LAN des R1202 in der Zentrale:

D:\TEMP>ping -n 3 192.168.10.119
Ping wird ausgeführt für 192.168.10.119 mit 32 Bytes Daten:
Antwort von 192.168.10.119: Bytes=32 Zeit<1ms TTL=61
Antwort von 192.168.10.119: Bytes=32 Zeit<1ms TTL=61
Antwort von 192.168.10.119: Bytes=32 Zeit<1ms TTL=61
Ping-Statistik für 192.168.10.119:
    Pakete: Gesendet = 3, Empfangen = 3, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms
D:\TEMP>

Abschlußbemerkung

  • Denken Sie bitte auch daran sich gegebenenfalls auch um eine ordungsgemäße DNS-Namensauflösung zu kümmern.
  • Vergessen sie nicht Ihre gewünschten Einstellungen bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.

Basis

Erstellt:30.11.2018
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.1.27
KW: 03/2018
kst