Wie funktioniert GRE?



  • Hallo,

    ich versuche seit einiger Zeit verzweifelt (will sagen, erfolglos) folgendes zu erreichen:
    Ein WLAN-Controller (Meru) an einem entfernten Standort welcher über MPLS angebunden ist (also "inneres" Netz) den Traffic eines WLANs (Subnetz 10.62.192.0/22) per GRE-Tunnel zur pfSense in unserer Zentrale zu "routen". Hierbei soll die pfSense DHCP, DNS, Captive-Portal anbieten. Ich scheitere aber schon am GRE-Tunnel. Alle Anleitngen und Hilfen die ich im Internet finde beziehen sich auf einen GRE-Tunnel mit VPN/IPSec. Da ich aber im inneren/sicheren Netz arbeite brauche ich keine zusätzliche Verschlüsselung.

    Ist es überhaupt möglich Broadcast (für DHCP-Requests/Responses) durch einen GRE-Tunnel zu leiten?
    Wie kann ich auf der pfSense einem Interface welches dem GRE-Tunnel zugeordnet ist einen DHCP-Server zuweisen? Dort erscheint das Interface nicht als "Reiter" zum auswählen.



  • Hilf dir mit einem DHCP-Relay.



  • Sehr einfach dargestellt habe ich folgendes Setup.
    Der WLAN-Controller 1 macht alles ohne besondere Techniken. Da gibt es ein VLAN zwischen ihm und der pfSense. Die pfSense bietet DNS, DHCP, Captive Portal dafür an. Klappt alles.

    Jetzt mein Problem. Der entfernte Standort mit WLAN-Controller 2 soll das gleiche tun. Zwischen beiden befindet sich ein geroutetes MPLS-Netz. Die Clients die sich per SSID anmelden sollen vom Controller direkt zur pfSense durchgereicht werden, also eher wie eine Bridge. Bridge unterstützt das MPLS jedoch nicht, daher dachte ich GRE wäre eine sinnvolle Alternative. Leider komme ich überhaupt nicht klar wo ich was dafür konfigurieren muss um am Ende auch alle Dienste in der pfSense nutzen zu können.
    Ja, DHCP-Relay könnte ich zusätzlich zum GRE noch am WLAN-Controller einstellen. Die Frage ist nur, wo soll der hinzeigen?




  • DHCP Relay auf der pfSense hatte ich gemeint. Das funktioniert auch auf einem GRE Tunnel.
    Der WLAN AP muss es natürlich auch machen, ist aber eigentlich Standard.

    GRE hatte ich auch nur zu Zeiten "vor pfSense" in Zusammenhang mit PPTP und IPSec im Verwendung. Auf der pfSense habe ich hier auch keine Praxis.
    Ich hätte mir das so vorgestellt: Du richtest einen GRE-Tunnel zum WLAN Controller ein, weist diesem ein Interface zu und aktivierst das DHCP-Relay. DHCP macht pfSense auf einem anderen Interface oder ein anderer Server.
    Die WLAN Clients bekommen ihre IP aus dem Subnetz des GRE Tunnels.  Also den Tunnel entsprechend breit dimensionieren und auf dem DHCP Server den Pool hinzufügen, die Tunnel Adressen dürfen natürlich nicht Teil des Pools sein.
    Wie oben erwähnt, so würde ich es versuchen, habe aber auch keinerlei Erfahrung in der Richtung.



  • Hallo viragomann,

    ja, was Du sagst klingt alles nachvollziehbar und logisch für mich.
    Grundsätzlich sollte ein GRE-Interface auch direkt als DHCP-Reiter in pfSense verfügbar sein. Von der darunterliegenden Technik müsste das jedenfalls gehen…

    Das mit WLAN-Controller habe ich genau so gemacht. Der Tunnel selbst geht auch, ich kann da "durch" pingen. Die Frage ist aber, wo würde ich ein DHCP-Relay einstellen auf der pfSense? Wenn ich nämlich DHCP-Server aktiviert habe, kann man DHCP-Forward nicht mehr aktivieren (beides geht wohl nicht)  :-\

    Auch habe ich versucht den GRE-Tunnel und ein weiteres "physikalisches" Interface im gleichen IP-Netz zu betreiben. Das klappt aber leider nicht, oder ich habe was falsch gemacht. Die Idee war den Tunnel auf z.B. Class-C (/24) zu dimensionieren. Die pfsense und der Controller haben da drin eine statische IP. Der Bereich von 1-250 wäre für DHCP frei. Dann ein freies Interface mit einer IP im gleichen Netz aktivieren und da drauf das DHCP binden. Habe sogar das Interface mit einem Link versorgt, damit es nicht deswegen streikt. So hätte ich gedacht, endet der Tunnel im Subnetz des Interfaces und alles ist gut. Pustekuchen, hat nicht geklappt. Evtl. mach ich auch was falsch.



  • Hallo,

    ja, DHCP Server und DHCP Relay können auf der pfSense nicht gleichzeitig betrieben werden. Das habe ich hier nicht bedacht.
    Ein anderer DHCP Server ist keine Option?

    Blöde Frage, vielleicht habe ich auch was übersehen, warum setzt du kein vLAN zum WLAN Controller ein?



  • Leider bin ich mit der pfSense nicht zum Erfolg gekommen. Ich habe keinen Weg gefunden den "Ausgang" des Remoten WLAN-Controllers zu einem LAN-Port der Internet-pfSense zu tunneln.
    Meine Lösung ist daher an den remoten Standorten ebenfalls pfSenses einzusetzen und diese dann vom WAN-Interface aus per OpenVPN-Tunnel zum LAN-Interface der Internet-pfSense zu führen. Anders weiss ich mir nicht zu helfen… finde die Lösung aber richtig doof, da ich die Captive-Portal User dann über viele pfSenses verstreut habe...


Log in to reply