bintec Router-Serien - Einfaches Beispiel für das Grundprinzip einer VPN-Verbindung LAN-zu-LAN mit dem Netzprotokoll Generic Routing Encapsulation (GRE)

Aus bintec elmeg Support-Wiki / FAQ

Wechseln zu: Navigation, Suche

bintec Router-Serien - Einfaches Beispiel für das Grundprinzip einer VPN-Verbindung LAN-zu-LAN mit dem Netzprotokoll Generic Routing Encapsulation (GRE)

Vorbemerkungen

  • Über einen VPN-Tunnel sollen zwei örtlich getrennt liegende LANs mittels der Generic Routing Encapsulation (GRE) auf möglichst einfache Weise routingtechnisch miteinander verbunden werden.
  • Im vorliegenden Beispiel soll diese "LAN-zu-LAN"-Verbindung zwischen einem bintec RS353jw in der Filiale und einem bintec R1202 in der Zentrale hergestellt werden, beide mit Firmware Release 10.1.27.
  • Andere Geräte der bintec Router-Serien mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
  • Exportieren Sie Ihre aktiven Konfigurationen in externe Dateien, bevor Sie mit Änderungen an der Konfiguration beginnen.

Die Konfiguration erfolgt generell mittels GUI, im Wesentlichen aber im GUI Menü "VPN" unter "GRE".

Die grundsätzliche Funktion von GRE ist sehr gut in der Online-Hilfe und im Manual beschrieben:
"Das Generic Routing Encapsulation (GRE) ist ein Netzwerkprotokoll, das dazu dient, andere Protokolle einzukapseln und so in Form
von IP-Tunneln zu den spezifizierten Empfänger zu transportieren. Die Spezifikation des GRE-Protokolls liegt in zwei Versionen vor:
GRE V.1 zur Verwendung in PPTP-Verbindungen (RFC 2637, Konfiguration im Menü PPTP)
GRE V.0 (RFC 2784) zur allgemeinen Enkapsulierung mittels GRE
Im diesem Menü können Sie ein virtuelles Interface zur Nutzung von GRE V.0 konfigurieren. Der Datenverkehr, der über
dieses Interface geroutet wird, wird dann mittels GRE enkapsuliert und an den spezifizierten Empfänger gesendet."

Die grundsätzlichen individuellen Parameterbeschreibungen findet man im Kontext-Menü der Online-Hilfe und im Manual.
Auf den bintec Routern soll im Beispiel von initial unkonfiguriertem GRE ausgegangen werden (entspr. Auslieferungszustand).

Achtung:
Die nachfolgende Beschreibung gilt nur für den relativ "einfachen" Fall, dass sowohl der bintec RS353jw in der Filiale als auch der bintec R1202 in der Zentrale über eine feste "öffentliche" IP-Adresse verfügen. Die GRE-Verbindung selbst ist nicht verschlüsselt. Bei Bedarf wäre der "Nutz"-Traffic (die sog. Payload) also vor der Übertragung durch den GRE-Tunnel ggf. erst noch zu verschlüsseln.

Vorgehensweise

Im vorliegenden Beispiel soll das LAN "192.168.0.0/24" eines bintec RS353jw in der Filiale möglichst einfach über einen GRE-basierenden Tunnel mit dem LAN "192.168.10.0/24" eines bintec R1202 in der Zentrale verbunden werden. Die IP-Adresse "192.168.4.117" soll hierbei als "öffentliche" WAN-IP-Adresse des bintec R1202 in der Zentrale fungieren und die IP-Adresse "192.168.4.115" als "öffentliche" WAN-IP-Adresse des bintec RS353jw in der Filiale.

Die Konfiguration erfolgt in drei wesentlichen Schritten:

  1. GRE-Tunnel einrichten in der Filiale (RS353jw)
  2. GRE-Tunnel einrichten in der Zentrale (R1202)
  3. NAT-Freigabe einrichten in der Zentrale (R1202)

GRE-Tunnel einrichten in der Filiale (RS353jw)

Das Anlegen des GRE-Tunnels erfolgt im GUI Menü "VPN" unter "GRE" auf dem Tab "GRE-Tunnel" mit Klick auf "NEU".

Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des GRE-Tunnels:

GRE-Tunnel Filiale

Bild 1: GUI-Menü des bintec RS353jw in der Filiale mit den Beispielwerten des neuen GRE-Tunnels

Die "Lokale GRE-IP-Adresse" ist hier im Beipiel die eigene "öffentliche" WAN-IP-Adresse "192.168.4.115" des bintec RS353jw in der Filiale.
Die "Entfernte GRE-IP-Adresse" ist hier die "öffentliche" WAN-IP-Adresse "192.168.4.117" der Gegenstelle bintec R1202 in der Zentrale.
Die "Lokale IP-Adresse" ist hier im Beispiel die eigene LAN-IP-Adresse "192.168.0.115" des bintec RS353jw in der Filiale und
die "Entfernte IP-Adresse" ist hier das LAN-IP-Subnetz "192.168.10.0"/"255.255.255.0" der Gegenstelle bintec R1202 in der Zentrale.
Achten Sie hier auch darauf einen zu Ihrer Infrastruktur passenden Wert für die "MTU" einzutragen.

GRE-Tunnel einrichten in der Zentrale (R1202)

Das Anlegen des GRE-Tunnels erfolgt wieder im GUI Menü "VPN" unter "GRE" auf dem Tab "GRE-Tunnel" mit Klick auf "NEU".

Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des GRE-Tunnels:

GRE-Tunnel Zentrale

Bild 2: GUI-Menü des bintec R1202 in der Zentrale mit den Beispielwerten des neuen GRE-Tunnels

Die "Lokale GRE-IP-Adresse" ist hier im Beipiel die eigene "öffentliche" WAN-IP-Adresse "192.168.4.117" des bintec R1202 in der Zentrale.
Die "Entfernte GRE-IP-Adresse" ist hier die "öffentliche" WAN-IP-Adresse "192.168.4.115" der Gegenstelle bintec RS353jw in der Filiale.
Die "Lokale IP-Adresse" ist hier im Beispiel die eigene LAN-IP-Adresse "192.168.0.117" des bintec R1202 in der Zentrale und
die "Entfernte IP-Adresse" ist hier das LAN-IP-Subnetz "192.168.0.0"/"255.255.255.0" der Gegenstelle bintec RS353jw in der Filiale.
Achten Sie auch hier darauf einen zu Ihrer Infrastruktur passenden Wert für die "MTU" einzutragen.

NAT-Freigabe einrichten in der Zentrale (R1202)

Im bintec R1202 in der Zentrale, der im Beispiel als Responder fungieren soll, ist bei aktiviertem NAT auf der WAN-Schnittstelle (hier en1-4)
eine NAT-Freigabe für das Protokoll "GRE" einzurichten. Das Anlegen der NAT-Freigabe erfolgt im GUI Menü "Netzwerk" unter "NAT" auf
dem Tab "NAT-Konfiguration" mit Klick auf "NEU".

Beispiel für das GUI-Menü für die NAT-Freigabe für das Protokoll "GRE":

NAT-Freigabe für Protokoll "GRE"

Bild 3: GUI-Menü des bintec R1202 in der Zentrale mit der NAT-Freigabe für das Protokoll "GRE"

Kontrolle der Funktion der konfigurierten GRE-Verbindung

  • Eine einfache Kontrolle der GRE-Verbindung kann mit Ping direkt von Router zu Router durch den VPN-Tunnel erfolgen und danach auch noch vom PC im LAN des RS353jw in der Filiale durch den VPN-Tunnel zu einem Host im LAN des R1202 in der Zentrale.

Ping direkt von der (Telnet-)Konsole des bintec RS353jw in der Filiale durch den VPN-Tunnel zum bintec R1202 in der Zentrale: 

rs353jw_ks:> ping -c3 192.168.10.117
PING 192.168.10.117: 64 data bytes
64 bytes from 192.168.10.117: icmp_seq=0. time=0.367 ms
64 bytes from 192.168.10.117: icmp_seq=1. time=0.420 ms
64 bytes from 192.168.10.117: icmp_seq=2. time=0.419 ms
----192.168.10.117 PING Statistics----
3 packets transmitted, 3 packets received, 0% packet loss

Ping vom PC im LAN des RS353jw in der Filiale durch den VPN-Tunnel zu einem Host im LAN des R1202 in der Zentrale: 

D:\TEMP>ping -n 3 192.168.10.119
Ping wird ausgeführt für 192.168.10.119 mit 32 Bytes Daten:
Antwort von 192.168.10.119: Bytes=32 Zeit<1ms TTL=61
Antwort von 192.168.10.119: Bytes=32 Zeit<1ms TTL=61
Antwort von 192.168.10.119: Bytes=32 Zeit<1ms TTL=61
Ping-Statistik für 192.168.10.119: Pakete: Gesendet = 3, Empfangen = 3, Verloren = 0 (0% Verlust)

Abschlußbemerkung

  • Denken Sie bitte auch daran sich gegebenenfalls auch um eine ordungsgemäße DNS-Namensauflösung zu kümmern.
  • Vergessen sie nicht Ihre gewünschten Einstellungen bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.

Basis

Erstellt:30.11.2018
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.1.27
KW: 03/2018
kst

Abgerufen von „http://faq.bintec-elmeg.com/index.php?title=bintec_Router-Serien_-_Einfaches_Beispiel_für_das_Grundprinzip_einer_VPN-Verbindung_LAN-zu-LAN_mit_dem_Netzprotokoll_Generic_Routing_Encapsulation_(GRE)&oldid=2777