Beschreibung:

In bestimmten Szenarien ist es erforderlich, dass an zwei per VPN verbundenen Standorten ein Netzwerk mit dem gleichen IP-Adressbereich verwendet wird und die Kommunikation somit auf dem Layer-2 (MAC-Adresse) erfolgt anstatt auf Layer-3 (Routing). Bei einer normalen VPN-Verbindung müssen an den Standorten allerdings unterschiedliche IP-Adressbereiche verwendet werden, sodass Routing unabdingbar ist. Mithilfe eines EoGRE-Tunnels (Ethernet-over-GRE) können zwei Standorte über einen GRE-Tunnel (Generic Routing Encapsulation) miteinander verbunden und Pakete über Layer-2 übertragen werden. Dadurch ist es möglich an beiden Standsorten den gleichen IP-Adressbereich zu verwenden.

Da ein GRE-Tunnel unverschlüsselt ist, empfiehlt LANCOM Systems den Datenverkehr innerhalb des EoGRE-Tunnels verschlüsselt zu übertragen (etwa über eine IKEv2-Verbindung).

In diesem Artikel wird beschrieben, wie auf zwei Routern mit dem gleichen IP-Adressbereich ein EoGRE-Tunnel sowie eine IKEv2-Verbindung eingerichtet wird.

Bitte beachten Sie, dass Broadcast- und Multicast-Pakete über einen EoGRE-Tunnel gesendet werden. Dies kann zu einer erhöhten Last im Netzwerk führen!


Voraussetzungen:


Szenario:

  • Ein Unternehmen möchte die lokalen Netzwerke in der Zentrale und einer Filiale, welche beide über den gleichen IP-Adressbereich verfügen, über eine VPN-Verbindung miteinander verbinden.
  • Sowohl das lokale Netzwerk der Zentrale als auch das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.1.0/24.
  • Beide Standorte verfügen über einen LANCOM Router als Gateway und eine Internetverbindung. Die öffentliche IP-Adresse der Zentrale lautet 80.80.80.80, die der Filiale 81.81.81.81.
  • Die VPN-Verbindung wird von der Filiale zur Zentrale aufgebaut. Alle Stationen in den lokalen Netzwerken werden hinter Maskierungs-IP-Adressen maskiert. In der Zentrale wird die Maskierungs-IP-Adresse 193.1.1.1 verwendet, in der Filiale die Adresse 193.1.1.2.
  • Die beiden lokalen Netzwerke werden über einen EoGRE-Tunnel (Layer-2-Tunnel) miteinander verbunden.

Diagramm zeigt die Konfiguration einer VPN-Verbindung mit IPSec-Tunnel zwischen LAN-Zentrale und LAN-Filiale über das Internet, einschließlich der Abbildung von öffentlichen IP-Adressen.



Vorgehensweise:

1. Einrichtung der IKEv2-Verbindung auf den beiden Routern:

Richten Sie die VPN-Verbindungen auf den beiden Routern über den Setup-Assistenten ein. Die Vorgehensweise ist in dem folgenden Knowledge Base Artikel beschrieben:

Konfiguration einer IKEv2 VPN-Verbindung zwischen zwei LANCOM-Routern mit dem Setup-Assistenten (IPv4)


2. Konfiguration des EoGRE-Tunnels auf dem Router in der Zentrale:

2.1 Verbinden Sie sich per LANconfig mit dem Router in der Zentrale, wechseln in das Menü Schnittstellen → LAN → Ethernet-Ports und prüfen die Zuordnung des Ethernet-Ports zu dem logischen LAN-Interface bei dem für das lokale Netzwerk verwendeten Port (in diesem Beispiel ist das lokale Netzwerk mit dem Port ETH-1 verbunden; dem physikalischen Port ETH-1 ist das logische Interface LAN-1 zugeordnet).

Screenshot einer technischen Benutzeroberfläche mit Netzwerkeinstellungen, einschließlich Optionen für MAC-Adress-Konfiguration, Ethernet-Schnittstellen, Spanning Tree Einstellungen und Monitoring-Kommunikation.

2.2 Wechseln Sie in das Menü Schnittstellen → LAN → LAN-Bridge.

2.3 Stellen Sie sicher, dass die Option Verbindung über eine Bridge herstellen (Standard) ausgewählt ist. Wechseln Sie anschließend in das Menü Port-Tabelle.

Bildschirmansicht einer technischen Benutzeroberfläche zur Konfiguration von LANBridge-Verbindungen und Parameteranpassungen für Netzwerkprotokolle.

2.4 Stellen Sie sicher, dass sowohl bei dem verwendeten logischen LAN-Interface (siehe Schritt 2.1) sowie bei dem verwendeten GRE-Tunnel (siehe Schritt 2.6) die gleiche Bridge-Gruppe ausgewählt ist (in diesem Beispiel wird BRG-1 verwendet).

Bei einem WLAN-Router muss sich zusätzlich noch das verwendete WLAN-Interface in der gleichen Bridge-Gruppe befinden, sofern das WLAN in dem Netzwerk verwendet wird.

Bild einer technischen Benutzeroberfläche, die eine Port-Tabelle zeigt, einschließlich Informationen zu Interface, Schaltzuständen, Betriebsmodi, Bridge-Gruppen und DHCP-Einstellungen für verschiedene Netzwerkverbindungen.

2.5 Wechseln Sie in das Menü Kommunikation → Gegenstellen → GRE-Tunnel.

Das Bild zeigt eine technische Benutzeroberfläche mit mehreren Konfigurationsoptionen für Datenübertragung, DSL, Mobilfunk und VPN, einschließlich Protokollen wie PPTP, und Bereichen für Monitoring und Kommunikationsmanagement.

2.6 Klicken Sie auf EoGRE-Tunnel und wählen einen bisher nicht verwendeten GRE-Tunnel aus (in diesem Beispiel GRE-Tunnel-1).

Bildschirmdarstellung einer technischen Benutzeroberfläche zur Konfiguration von GRE-Tunneln, mit Überschriften und Auswahlmöglichkeiten zur Verwaltung verschiedener Tunnelzustände.

2.7 Aktivieren Sie den GRE-Tunnel und tragen bei IP-Adresse eine Adresse aus einem bisher nicht verwendeten IP-Adressbereich ein, unter welcher der Endpunkt des GRE-Tunnels in der Filiale erreichbar sein soll (in diesem Beispiel die 193.1.1.2).

 Screenshot einer technischen Benutzeroberfläche mit Begriffen wie Checksumme, Paketfolge und Schlüsseloptionen.

2.8 Wechseln Sie in das Menü Kommunikation → Protokolle → IP-Parameter.

Screenshot einer technischen Benutzeroberfläche zum Aufbau von PPP oder PPTP Verbindungen mit Bereichen für Management, Benennung und Protokolleinstellungen.

2.9 Erstellen Sie einen neuen Eintrag, wählen bei Gegenstelle die in Schritt 1. erstellte VPN-Verbindung aus (in diesem Beispiel FILIALE) und tragen bei Maskierungs-IP-Adresse eine IP-Adresse ein, hinter der das lokale Netzwerk über den EoGRE-Tunnel zur Filiale maskiert werden soll (in diesem Beispiel die 193.1.1.1).

Da es bei IKEv2 im Gegensatz zu IKEv1 keine Extranet-Adresse mehr gibt, muss die Maskierung bei IKEv2 über die IP-Parameter erfolgen.

Bildschirmansicht eines Konfigurationsmenüs oder einer Benutzeroberfläche mit verschiedenen, anscheinend zufälligen Worten wie 'Faser', 'Herne', 'Eee', 'Smeois', 'Beer', 'Smenans', 'Bere', 'Frese'.

2.10 Wechseln Sie in das Menü IPv4 → Allgemein → IP-Netzwerke.

2.11 Stellen Sie sicher, dass in dem lokalen Netzwerk bei Schnittstellen-Zuordnung die verwendete Bridge-Gruppe ausgewählt ist (in diesem Beispiel BRG-1).

Screenshot einer technischen Benutzeroberfläche mit Optionen für Netzwerktyp 'Intranet', Adressprüfung und andere Konfigurationseinstellungen.

2.12 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.

Bildschirmdarstellung einer technischen Benutzeroberfläche für Netzwerkmanagement, die verschiedene Konfigurationsmöglichkeiten wie Load Balancing, IP-Routing und Schnittstellenoptionen zeigt.

2.13 Wählen Sie den Routing-Eintrag aus, welcher für die VPN-Verbindung zur Filiale erstellt wurde und klicken auf Bearbeiten.

Bildschirmansicht einer technischen Benutzeroberfläche zur Darstellung einer IP-Routing-Tabelle, einschließlich diverser Konfigurationsparameter und Kommentarbereich.

2.14 Passen Sie die folgenden Parameter an:

  • IP-Adresse: Tragen Sie die in Schritt 2.7 vergebene IP-Adresse des GRE-Tunnel-Endpunktes der Filiale ein (in diesem Beispiel die 193.1.1.2).
  • Netzmaske: Tragen Sie die 255.255.255.255 ein. Diese steht für genau eine IP-Adresse.

Eine technische Benutzeroberfläche zeigt verschiedene Routing- und Netzwerkmaskierungsoptionen, einschließlich RIP-Propagierungseinstellungen und Optionen für die Konfiguration von Intranet und DMZ.

2.15 Die Konfiguration des EoGRE-Tunnels des Routers in der Zentrale ist damit abgeschlossen, Schreiben Sie die Konfiguration in das Gerät zurück.


3. Konfiguration des EoGRE-Tunnels auf dem Router in der Filiale:

3.1 Verbinden Sie sich per LANconfig mit dem Router in der Filiale, wechseln in das Menü Schnittstellen → LAN → Ethernet-Ports und prüfen die Zuordnung des Ethernet-Ports zu dem logischen LAN-Interface bei dem für das lokale Netzwerk verwendeten Port (in diesem Beispiel ist das lokale Netzwerk mit dem Port ETH-1 verbunden; dem pyhsikalischen Port ETH-1 ist das logische Interface LAN-1 zugeordnet).

Screenshot einer technischen Benutzeroberfläche mit Netzwerkeinstellungen, darunter Optionen wie MAC-Adresse-Konfiguration, Spanning Tree, und VLAN-Bridge-Einstellungen.

3.2 Wechseln Sie in das Menü Schnittstellen → LAN → LAN-Bridge.

3.3 Stellen Sie sicher, dass die Option Verbindung über eine Bridge herstellen (Standard) ausgewählt ist. Wechseln Sie anschließend in das Menü Port-Tabelle.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von Netzwerkprotokollen und Bridge-Parametern für eine Verbindung über einen Router im isolierten Modus.

3.4 Stellen Sie sicher, dass sowohl bei dem verwendeten logischen LAN-Interface (siehe Schritt 3.1) sowie bei dem verwendeten GRE-Tunnel (siehe Schritt 3.6) die gleiche Bridge-Gruppe ausgewählt ist (in diesem Beispiel wird BRG-1 verwendet).

Bei einem WLAN-Router muss sich zusätzlich noch das verwendete WLAN-Interface in der gleichen Bridge-Gruppe befinden, sofern das WLAN in dem Netzwerk verwendet wird.

Ein technischer Screenshot einer Benutzeroberfläche, der eine Porttabelle mit verschiedenen Interface-Einstellungen wie Schaltzustand, Bridge-Gruppe und DHCP zeigt, in einem formatierten und strukturierten Layout.

3.5 Wechseln Sie in das Menü Kommunikation → Gegenstellen → GRE-Tunnel.

Bildschirmansicht eines technischen Konfigurationsmenüs mit verschiedenen Optionen zur Datenübertragung, Protokolleinstellungen und Management-Funktionen für Netzwerkschnittstellen.

3.6 Klicken Sie auf EoGRE-Tunnel und wählen einen bisher nicht verwendeten GRE-Tunnel aus (in diesem Beispiel GRE-Tunnel-1).

Bildschirmansicht einer technischen Benutzeroberfläche für die Konfiguration von GRE-Tunneln, angezeigt als Tabelle mit verschiedenen GRE-Tunnel Optionen.

3.7 Aktivieren Sie den GRE-Tunnel und tragen bei IP-Adresse eine Adresse aus dem gleichen IP-Adressbereich ein, welche in Schritt 2.7 dem Router in der Zentrale zugewiesen wurde. Unter dieser Adresse soll der Endpunkt des GRE-Tunnels in der Zentrale erreichbar sein (in diesem Beispiel die 193.1.1.1).

Bildschirmansicht einer technischen Benutzeroberfläche mit teilweise sichtbaren Elementen wie Checksumme, Paketfolge und Schlüsselstatus.

3.8 Wechseln Sie in das Menü Kommunikation → Protokolle → IP-Parameter.

Bildschirmausschnitt eines technischen Konfigurationsmenüs, das Einstellungen für DamdhrRouterPPP und PPTP Verbindungen sowie Protokolle und Skripte zur Verwaltung von Netzwerkkomponenten zeigt.

3.9 Erstellen Sie einen neuen Eintrag, wählen bei Gegenstelle die in Schritt 1. erstellte VPN-Verbindung aus (in diesem Beispiel ZENTRALE) und tragen bei Maskierungs-IP-Adresse eine IP-Adresse ein, hinter der das lokale Netzwerk über den EoGRE-Tunnel zur Zentrale maskiert werden soll (in diesem Beispiel die 193.1.1.2).

Da es bei IKEv2 im Gegensatz zu IKEv1 keine Extranet-Adresse mehr gibt, muss die Maskierung bei IKEv2 über die IP-Parameter erfolgen.

Grafische Darstellung eines Konfigurationsmenüs mit verschiedenen Begriffen wie Faser, Herne, Eee, Smeois, Beer, Smenans und Bere, teilweise unklar und möglicherweise fehlerhaft dargestellt.

3.10 Wechseln Sie in das Menü IPv4 → Allgemein → IP-Netzwerke.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von IP-Netzwerken und anderem Netzwerkmanagement mit verschiedenen Menüoptionen wie Adressenkonfiguration, Meldungen, Monitoring und Kommunikationseinstellungen.

3.11 Stellen Sie sicher, dass in dem lokalen Netzwerk bei Schnittstellen-Zuordnung die verwendete Bridge-Gruppe ausgewählt ist (in diesem Beispiel BRG-1).

Bildschirmansicht eines technischen Konfigurationsmenüs, das Netzwerkoptionen wie Intranet und Adressprüfung zeigt, sowie die Begriffe Neovo, Herne und Frese darstellt.

3.12 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.

Anzeige einer technischen Benutzeroberfläche mit Konfigurationsoptionen für Netzwerkmanagement, IP-Routing, Load Balancing und Protokolleinstellungen.

3.13 Wählen Sie den Routing-Eintrag aus, welcher für die VPN-Verbindung zur Zentrale erstellt wurde und klicken auf Bearbeiten.

Screenshot einer verwirrten oder fehlerhaften Anzeige einer Routing-Tabelle mit unklarem Text und technischen Begriffen.

3.14 Passen Sie die folgenden Parameter an:

  • IP-Adresse: Tragen Sie die in Schritt 3.7 vergebene IP-Adresse des GRE-Tunnel-Endpunktes der Filiale ein (in diesem Beispiel die 193.1.1.1).
  • Netzmaske: Tragen Sie die 255.255.255.255 ein. Diese steht für genau eine IP-Adresse.

Screenshot einer technischen Benutzeroberfläche mit Einstellungen zur Routenpropagierung und IP-Maskierung, einschließlich Optionen für RIP-Propagierung und Netzwerkmaskierungsoptionen für Intranet und DMZ.

3.15 Die Konfiguration des EoGRE-Tunnels des Routers in der Filiale ist damit abgeschlossen, Schreiben Sie die Konfiguration in das Gerät zurück.

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH