Beschreibung:
LCOS ab der Version 9.10 stellt mehrere Ethernet over GRE-Tunnel (EoGRE) zur Verfügung, um Ethernet-Pakete per GRE zu übertragen. Da sich diese Ethernet-Pakete auf OSI-Layer-2 bewegen, bieten diese EoGRE-Tunnel lediglich eine Bridge-Funktionalität an. Auf diese Weise lassen sich beispielsweise L2VPN (VPN als einfache Level-2-Brigde) oder eine transparente Ethernet-Bridge über WAN realisieren.
Dieses Konfigurationsbeispiel zeigt, wie Sie unter Verwendung eines Ethernet-over-GRE-Tunnel lokale Netzwerke mit gleichen IP-Adressbereichen über eine per IPSec gesicherte VPN-Verbindung (IKEv1) koppeln können.


Voraussetzungen:
  • LCOS ab Version 9.10 (download aktuelle Version)
  • LANtools ab Version 9.10 (download aktuelle Version)
  • Dieses Szenario lässt sich nur mit LANCOM-Routern realisieren, welche über die LAN-Bridge Funktionalität verfügen:
    • Dies sind alle LANCOM WLAN-Router (z.B. 1781EW(+), 1781(V)AW, 1780EW-4G
    • Bei den LANCOM Routern ohne WLAN, welche mit einem LCOS bis Version 10.00 betrieben werden (z.B. 1781A(-4G), 1781VA(-4G), 1781EF+) ist die LAN-Bridge nur mit aktivierter WLC-Basic Option for Routers verfügbar.
    • Ab der LCOS-Version 10.12 ist die LAN-Bridge für alle Geräte, welche diese Firmware unterstützen, freigeschaltet.


Szenario:
  • Ein Unternehmen möchte die lokalen Netzwerke in der Zentrale und einer Filiale, welche beide über den gleichen IP-Adressbereich verfügen, über eine Site-to-Site VPN-Verbindung miteinander koppeln.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.1.0/24, in der Filiale wird ebenfalls der lokale IP-Adressbereich 192.168.1.0/24 verwendet.
  • Beide Standorte verfügen über einen LANCOM Router als Gateway und eine Internetverbindung. Die öffentliche IP-Adresse der Zentrale lautet 80.80.80.80, die der Filiale 81.81.81.81.
  • Die VPN-Verbindung wird von der Filiale zur Zentrale aufgebaut. Alle Stationen im lokalen Netz werden hinter VPN-Extranet-Adressen maskiert. In der Zentrale wird die Extranet-IP 193.1.1.1 verwendet, in der Filiale die Adresse 193.1.1.2. Die Extranet-Adressen können frei gewählt werden, achten Sie bei lokalen IP-Adressen darauf, dass diese nicht innrhalb der Sperrrouten, die in der IP-Routing-Tabelle angegeben sind, liegen.
  • Die beiden lokalen Netze werden über einen EoGRE-Tunnel (Layer-2-Tunnel) miteinander verbunden.

Beachten Sie bitte, das bei diesem Szenario auch Broadcasts über den EoGRE-Tunnel übertragen werden.



Vorgehensweise:
1. Konfiguration der VPN-Verbindung zwischen Filiale und Zentrale:
1.1 Richten Sie auf jeder Seite eine VPN-Verbindung (IKEv1) mit dem Setup-Assistenten von LANconfig ein.
1.2. Da bei der VPN-Verbindung mit Extranet-Adressen gearbeitet wird, müssen Sie diese jeweils im Verlauf des Setup-Assistenten angeben:
  • Beim Router in der Zentrale kann eine beliebige lokale IP-Adresse eingegeben werden. In diesem Beispiel ist das die IP-Adresse 193.1.1.1.
  • Beim Router in der Filiale kann eine beliebige lokale IP-Adresse eingegeben werden. In diesem Beispiel ist das die IP-Adresse 193.1.1.2.
1.3. Beenden Sie den Setup-Asistenten jeweils mit Fertig stellen. Nach dem Zurückschreiben der Konfiguration wird die VPN-Verbindung zwischen der Filiale und der Zentrale aufgebaut.


2. Konfiguration der EoGRE-Verbindung in der Zentrale:
2.1 Öffnen Sie die Konfiguration des Routers in der Zentrale und wechseln Sie in das Menü Kommunikation → Gegenstellen → GRE-Tunnel → EoGRE-Tunnel.
2.2 Wählen Sie einen GRE-Tunnel aus. In diesem Beispiel wird der GRE-TUNNEL-1 verwendet.
2.3 Aktivieren Sie den GRE-Tunnel und tragen Sie im Feld IP-Adresse die Extranet IP-Adresse des Routers in der Filiale ein. In diesem Beispiel ist das die Adresse 193.1.1.2.
2.4 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.
2.5 Stellen Sie sicher, dass ein Routing-Eintrag vorhanden ist, welcher als Ziel-Adresse die Extranet-Adresse der Filiale (193.1.1.2), Netzmaske 255.255.255.255 und als Gegenstelle die VPN-Verbindung zur Filiale enthält.
2.6 Schreiben Sie die Konfiguration in den Router zurück.

Der GRE-Tunnel muss sich in der gleichen Bridge-Gruppe befinden in der sich auch das lokale Netzwerk befindet. In diesem Beispiel ist das die Gruppe BRG-1. Dies ist auch die Standardeinstellung. Prüfen und/oder ändern können Sie dies im Menü Schnittstellen → LAN → Port-Tabelle.

Stellen Sie sicher, dass die LAN-Bridge Einstellungen in der Standard-Einstellung betrieben werden. 



3. Konfiguration der EoGRE-Verbindung in der Filiale:

3.1 Öffnen Sie die Konfiguration des Routers in der Filiale und wechseln Sie in das Menü Kommunikation → Gegenstellen → GRE-Tunnel → EoGRE-Tunnel.
3.2 Wählen Sie einen GRE-Tunnel aus. In diesem Beispiel wird der GRE-TUNNEL-1 verwendet.
3.3 Aktivieren Sie den GRE-Tunnel und tragen Sie im Feld IP-Adresse die Extranet IP-Adresse des Routers in der Zentrale ein. In diesem Beispiel ist das die Adresse 193.1.1.1.
3.4 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.
3.5 Stellen Sie sicher, dass ein Routing-Eintrag vorhanden ist, welcher als Ziel-Adresse die Extranet-Adresse der Zentrale (193.1.1.1), Netzmaske 255.255.255.255 und als Gegenstelle die VPN-Verbindung zur Zentrale enthält.
3.6 Schreiben Sie die Konfiguration in den Router zurück.

Der GRE-Tunnel muss sich in der gleichen Bridge-Gruppe befinden in der sich auch das lokale Netzwerk befindet. In diesem Beispiel ist das die Gruppe BRG-1. Dies ist auch die Standardeinstellung. Prüfen und/oder ändern können Sie dies im Menü Schnittstellen → LAN → Port-Tabelle.

Stellen Sie sicher, dass die LAN-Bridge Einstellungen in der Standard-Einstellung betrieben werden.