910
Bearbeitungen
Änderungen
keine Bearbeitungszusammenfassung
'''<big>bintec Router-Serien - Einfaches Beispiel für das Grundprinzip einer VPN-Verbindung LAN-zu-LAN mit dem Netzprotokoll Generic Routing Encapsulation (GRE)</big>''' __NOEDITSECTION__
===Vorbemerkungen===
* Über einen GRE-VPN-Tunnel sollen zwei örtlich getrennt liegende LANs auf möglichst einfache Weise routingtechnisch miteinander verbunden werden. <br />* Im Beispiel soll mittels der Generic Routing Encapsulation (GRE) eine ganz einfache "LAN-zu-LAN"-Verbindung zwischen zwei bintec Routern <br />hergestellt werden - einem bintec RS353jw in der Filiale und einem bintec R1202 in der Zentrale, beide mit Firmware Rel.10.1.27. * Über einen GRE-VPN-Tunnel sollen zwei örtlich getrennt liegende LANs auf möglichst einfache Weise routingtechnisch miteinander verbunden werden.* Im Beispiel soll mittels der Generic Routing Encapsulation (GRE) eine ganz einfache "LAN-zu-LAN"-Verbindung zwischen zwei bintec Routern hergestellt werden - einem bintec RS353jw in der Filiale und einem bintec R1202 in der Zentrale, beide mit Firmware Rel.10.1.27. <br />* Andere Geräte der bintec Router-Serien mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren. <br />* Exportieren Sie Ihre aktiven Konfigurationen in externe Dateien, bevor Sie mit Änderungen an der Konfiguration beginnen. <br />
Die Konfiguration erfolgt generell mittels GUI, im Wesentlichen aber im GUI Menü "VPN" unter "GRE". <br />
Die grundsätzliche Funktion von GRE ist sehr gut in der Online-Hilfe und im Manual beschrieben: <br />
GRE V.0 (RFC 2784) zur allgemeinen Enkapsulierung mittels GRE <br />
Im diesem Menü können Sie ein virtuelles Interface zur Nutzung von GRE V.0 konfigurieren. Der Datenverkehr, der über <br />
dieses Interface geroutet wird, wird dann mittels GRE enkapsuliert und an den spezifizierten Empfänger gesendet." <br />
Die grundsätzlichen inividuellen Parameterbeschreibungen findet man im Kontext-Menü der Online-Hilfe und im Manual. <br />
Auf den bintec Routern soll im Beispiel von initial unkonfiguriertem GRE ausgegangen werden (entspr. Auslieferungszustand). <br />
Achtung: <br />
Die nachfolgende Beschreibung gilt nur für den relativ "einfachen" Fall, dass sowohl der bintec RS353jw in der Filiale als auch der bintec R1202 in der Zentrale <br />über eine feste "öffentliche" IP-Adresse verfügen. <br />
===Vorgehensweise===
Im vorliegenden Beispiel soll das LAN 192.168.0.0/24 eines bintec RS353jw in der Filiale möglichst einfach über einen GRE-basierenden Tunnel mit dem <br />LAN 192.168.10.0/24 eines bintec R1202 in der Zentrale verbunden werden. Die IP-Adresse "192.168.4.117" soll hierbei als "öffentliche" WAN-IP-Adresse <br />des bintec R1202 in der Zentrale fungieren und die IP-Adresse "192.168.4.115" als "öffentliche" WAN-IP-Adresse des bintec RS353jw in der Filiale. <br />
Die Konfiguration erfolgt in drei wesentlichen Schritten:
# GRE-Tunnel einrichten in der Filiale
# GRE-Tunnel einrichten in der Zentrale
# NAT-Freigabe einrichten in der Zentrale
====GRE-Tunnel einrichten in der Filiale====
Das Anlegen des GRE-Tunnels erfolgt im GUI Menü "VPN" unter "GRE" auf dem Tab "GRE-Tunnel" mit Klick auf "NEU". <br />
Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des GRE-Tunnels:
[[Bild:GRE_LAN_to_LAN01.png|none|GRE-Tunnel Filiale]]
Bild 1: GUI-Menü des bintec RS353jw in der Filiale mit den Beispielwerten des neuen GRE-Tunnels <br />
Die "Lokale GRE-IP-Adresse" ist hier im Beipiel die eigene "öffentliche" WAN-IP-Adresse "192.168.4.115" des bintec RS353jw in der Filiale. <br />
Die "Lokale IP-Adresse" ist hier im Beispiel die eigene LAN-IP-Adresse "192.168.0.115" des bintec RS353jw in der Filiale und <br />
die "Entfernte IP-Adresse" ist hier das LAN-IP-Subnetz "192.168.10.0"/"255.255.255.0" der Gegenstelle bintec R1202 in der Zentrale. <br />
Achten Sie hier auch darauf einen zu Ihrer Infrastruktur passenden Wert für die "MTU" einzutragen. <br />
====GRE-Tunnel einrichten in der Zentrale====
Das Anlegen des GRE-Tunnels erfolgt wieder im GUI Menü "VPN" unter "GRE" auf dem Tab "GRE-Tunnel" mit Klick auf "NEU". <br />
Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des GRE-Tunnels:
[[Bild:GRE_LAN_to_LAN02.png|none|GRE-Tunnel Zentrale]]
Bild 2: GUI-Menü des bintec R1202 in der Zentrale mit den Beispielwerten des neuen GRE-Tunnels <br />
Die "Lokale GRE-IP-Adresse" ist hier im Beipiel die eigene "öffentliche" WAN-IP-Adresse "192.168.4.117" des bintec R1202 in der Zentrale. <br />
Die "Lokale IP-Adresse" ist hier im Beispiel die eigene LAN-IP-Adresse "192.168.0.117" des bintec R1202 in der Zentrale und <br />
die "Entfernte IP-Adresse" ist hier das LAN-IP-Subnetz "192.168.0.0"/"255.255.255.0" der Gegenstelle bintec RS353jw in der Filiale. <br />
Achten Sie hier auch darauf einen zu Ihrer Infrastruktur passenden Wert für die "MTU" einzutragen. <br />
====NAT-Freigabe einrichten in der Zentrale====
Im bintec R1202 in der Zentrale, der im Beispiel als Responder fungieren soll, ist bei aktiviertem NAT auf <br />
der WAN-Schnittstelle (hier en1-4) eine NAT-Freigabe für das Protokoll "GRE" einzurichten. <br />
Das Anlegen der NAT-Freigabe erfolgt im GUI Menü "Netzwerk" unter "NAT" auf dem Tab "NAT-Konfiguration" mit Klick auf "NEU". <br />
Beispiel für das GUI-Menü für die NAT-Freigabe für das Protokoll "GRE":
[[Bild:GRE_LAN_to_LAN03.png|none|NAT-Freigabe für Protokoll "GRE"]]
Bild 3: GUI-Menü des bintec R1202 in der Zentrale mit der NAT-Freigabe für das Protokoll "GRE" <br />
===Kontrolle der Funktion der konfigurierten GRE-Verbindung===
* Eine einfache Kontrolle der GRE-Verbindung kann mit Ping von Router zu Router erfolgen und danach auch noch
vom PC im LAN des RS353jw in der Filiale durch den VPN-Tunnel zu einem Host im LAN des R1202 in der Zentrale.
Ping von der (Telent-)Konsole des bintec RS353jw in der Filiale durch den VPN-Tunnel zum bintec R1202 in der Zentrale:
<pre>rs353jw_ks:> ping -c3 192.168.10.117
PING 192.168.10.117: 64 data bytes
64 bytes from 192.168.10.117: icmp_seq=0. time=0.367 ms
Ping vom PC im LAN des RS353jw in der Filiale durch den VPN-Tunnel zu einem Host im LAN des R1202 in der Zentrale:
<pre>D:\TEMP>ping -n 3 192.168.10.119
Ping wird ausgeführt für 192.168.10.119 mit 32 Bytes Daten:
Antwort von 192.168.10.119: Bytes=32 Zeit<1ms TTL=61
Antwort von 192.168.10.119: Bytes=32 Zeit<1ms TTL=61
Antwort von 192.168.10.119: Bytes=32 Zeit<1ms TTL=61Ping61Ping-Statistik für 192.168.10.119: Pakete: Gesendet = 3, Empfangen = 3, Verloren = 0 (0% Verlust),Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 0ms, Mittelwert = 0msD0msD:\TEMP>
</pre>
===Abschlußbemerkung===
* Denken Sie bitte auch daran sich gegebenenfalls auch um eine ordungsgemäße DNS-Namensauflösung zu kümmern.
* Vergessen sie nicht Ihre gewünschten Einstellungen bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.