Beschreibung: LCOS ab der Version 9.10 stellt mehrere Ethernet over GRE-Tunnel (EoGRE) zur Verfügung, um Ethernet-Pakete per GRE zu übertragen. Da sich diese Ethernet-Pakete auf OSI-Layer-2 bewegen, bieten diese EoGRE-Tunnel lediglich eine Bridge-Funktionalität an. Auf diese Weise lassen sich beispielsweise L2VPN (VPN als einfache Level-2-Brigde) oder eine transparente Ethernet-Bridge über WAN realisieren. Dieses Konfigurationsbeispiel zeigt, wie Sie unter Verwendung eines Ethernet-over-GRE-Tunnel lokale Netzwerke mit gleichen IP-Adressbereichen über eine per IPSec gesicherte VPN-Verbindung (IKEv1) koppeln können. Voraussetzungen: - LCOS ab Version 9.10 (download aktuelle Version)
- LANtools ab Version 9.10 (download aktuelle Version)
- Dieses Szenario lässt sich nur mit LANCOM-Routern realisieren, welche über die LAN-Bridge Funktionalität verfügen:
- Dies sind alle LANCOM WLAN-Router (z.B. 1781EW(+), 1781(V)AW, 1780EW-4G
- Bei den LANCOM Routern ohne WLAN, welche mit einem LCOS bis Version 10.00 betrieben werden (z.B. 1781A(-4G), 1781VA(-4G), 1781EF+) ist die LAN-Bridge nur mit aktivierter WLC-Basic Option for Routers verfügbar.
- Ab der LCOS-Version 10.12 ist die LAN-Bridge für alle Geräte, welche diese Firmware unterstützen, freigeschaltet.
Szenario: - Ein Unternehmen möchte die lokalen Netzwerke in der Zentrale und einer Filiale, welche beide über den gleichen IP-Adressbereich verfügen, über eine Site-to-Site VPN-Verbindung miteinander koppeln.
- Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.1.0/24, in der Filiale wird ebenfalls der lokale IP-Adressbereich 192.168.1.0/24 verwendet.
- Beide Standorte verfügen über einen LANCOM Router als Gateway und eine Internetverbindung. Die öffentliche IP-Adresse der Zentrale lautet 80.80.80.80, die der Filiale 81.81.81.81.
- Die VPN-Verbindung wird von der Filiale zur Zentrale aufgebaut. Alle Stationen im lokalen Netz werden hinter VPN-Extranet-Adressen maskiert. In der Zentrale wird die Extranet-IP 193.1.1.1 verwendet, in der Filiale die Adresse 193.1.1.2. Die Extranet-Adressen können frei gewählt werden, achten Sie bei lokalen IP-Adressen darauf, dass diese nicht innrhalb der Sperrrouten, die in der IP-Routing-Tabelle angegeben sind, liegen.
- Die beiden lokalen Netze werden über einen EoGRE-Tunnel (Layer-2-Tunnel) miteinander verbunden.
Beachten Sie bitte, das bei diesem Szenario auch Broadcasts über den EoGRE-Tunnel übertragen werden. |
Vorgehensweise: 1. Konfiguration der VPN-Verbindung zwischen Filiale und Zentrale: 1.1 Richten Sie auf jeder Seite eine VPN-Verbindung (IKEv1) mit dem Setup-Assistenten von LANconfig ein. 1.2. Da bei der VPN-Verbindung mit Extranet-Adressen gearbeitet wird, müssen Sie diese jeweils im Verlauf des Setup-Assistenten angeben: - Beim Router in der Zentrale kann eine beliebige lokale IP-Adresse eingegeben werden. In diesem Beispiel ist das die IP-Adresse 193.1.1.1.
- Beim Router in der Filiale kann eine beliebige lokale IP-Adresse eingegeben werden. In diesem Beispiel ist das die IP-Adresse 193.1.1.2.
1.3. Beenden Sie den Setup-Asistenten jeweils mit Fertig stellen. Nach dem Zurückschreiben der Konfiguration wird die VPN-Verbindung zwischen der Filiale und der Zentrale aufgebaut.
2. Konfiguration der EoGRE-Verbindung in der Zentrale: 2.1 Öffnen Sie die Konfiguration des Routers in der Zentrale und wechseln Sie in das Menü Kommunikation → Gegenstellen → GRE-Tunnel → EoGRE-Tunnel. 2.2 Wählen Sie einen GRE-Tunnel aus. In diesem Beispiel wird der GRE-TUNNEL-1 verwendet. 2.3 Aktivieren Sie den GRE-Tunnel und tragen Sie im Feld IP-Adresse die Extranet IP-Adresse des Routers in der Filiale ein. In diesem Beispiel ist das die Adresse 193.1.1.2. 2.4 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle. 2.5 Stellen Sie sicher, dass ein Routing-Eintrag vorhanden ist, welcher als Ziel-Adresse die Extranet-Adresse der Filiale (193.1.1.2), Netzmaske 255.255.255.255 und als Gegenstelle die VPN-Verbindung zur Filiale enthält. 2.6 Schreiben Sie die Konfiguration in den Router zurück.
Der GRE-Tunnel muss sich in der gleichen Bridge-Gruppe befinden in der sich auch das lokale Netzwerk befindet. In diesem Beispiel ist das die Gruppe BRG-1. Dies ist auch die Standardeinstellung. Prüfen und/oder ändern können Sie dies im Menü Schnittstellen → LAN → Port-Tabelle. Stellen Sie sicher, dass die LAN-Bridge Einstellungen in der Standard-Einstellung betrieben werden. |
3. Konfiguration der EoGRE-Verbindung in der Filiale: 3.1 Öffnen Sie die Konfiguration des Routers in der Filiale und wechseln Sie in das Menü Kommunikation → Gegenstellen → GRE-Tunnel → EoGRE-Tunnel. 3.2 Wählen Sie einen GRE-Tunnel aus. In diesem Beispiel wird der GRE-TUNNEL-1 verwendet. 3.3 Aktivieren Sie den GRE-Tunnel und tragen Sie im Feld IP-Adresse die Extranet IP-Adresse des Routers in der Zentrale ein. In diesem Beispiel ist das die Adresse 193.1.1.1. 3.4 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle. 3.5 Stellen Sie sicher, dass ein Routing-Eintrag vorhanden ist, welcher als Ziel-Adresse die Extranet-Adresse der Zentrale (193.1.1.1), Netzmaske 255.255.255.255 und als Gegenstelle die VPN-Verbindung zur Zentrale enthält. 3.6 Schreiben Sie die Konfiguration in den Router zurück. Der GRE-Tunnel muss sich in der gleichen Bridge-Gruppe befinden in der sich auch das lokale Netzwerk befindet. In diesem Beispiel ist das die Gruppe BRG-1. Dies ist auch die Standardeinstellung. Prüfen und/oder ändern können Sie dies im Menü Schnittstellen → LAN → Port-Tabelle. Stellen Sie sicher, dass die LAN-Bridge Einstellungen in der Standard-Einstellung betrieben werden. |
|