Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 8 replies
  • Subscribers 0 subscribers
  • Views 7200 views
  • Users 0 members are here
Options
Suggested

How to use RED as remote Ethernet device

rbender
Hi,

I received my REDs today, thanks a lot for that chance !

I want to use it as the promised long ethernet cable from my main Office.
No IP configuration, no DHCP, just layer 2 tunneling from the central site
to the red site.
The red is up an online and connected to my central Astaro 7.504, but from here
it is not clear to me how to proceed.
When adding the new Ethernet Interface and choosing the RED as my Interface
I still have to enter an IP address, otherwise I can not proceed.
If the RED is a Layer 2 Tunneling device there should be no Layer 3 IP address neccessary.

The goal is to connect a PC to the RED and it is the subnet of the central LAN and gets it IP from the DHCP server there and not locally within its own subnet like classic IPSec VPN I used before for remote locations.
So the RED delivers what the carriers like COLT call Layer 2 Ethernet VPN.

Thanks a lot for your Help.

Regards,

Ralf
Parents
  • 0
    Hi,
    now we are a lot further.
    1)
    I bridged the Red interface to my Entertain Switch with T-Home Entertain VDSL.
    The forward of the DHCP from the Speedport thru the Red tunnel did not work, so I
    activated a DHCP Server on this Interface of the Astaro, but with the speedport
    as gateway. This worked with my notebook attached to the RED fine, I could surf over the speedport via RED tunnel. Then we connected a T-Home Entertain Router to the RED. The Router bootet and can access program information and you can see the first picture via unicast, but when ist switches to Multicast the picture on then TV stucks because the RED does not let thru the mulitcast traffic.
    2)
    Next I deleted that bridge and configured a new one between RED and my WAN interface.
    Again the DHCP is not passed thru by the RED tunnel, DHCP Server is on the WAN interface of another Astaro connected to the same WAN Switch.
    Then i connected a Notebook to the RED and configured an other WAN IP manually to the Notebook with the same WAN Gateway IP as the Astaro has.
    I can ping the gateway and every IP in the Internet, but no DNS works thru the RED tunnel and no other service. Is there a special firewall rule neccessary ? 
    I can not find any possible rule between the same bridged interfaces to allow traffic.

    So far for today with my experinces, works basically but not really full layer2 forwarding
    like a normal switchport.

    Ralf
Reply
  • 0
    Hi,
    now we are a lot further.
    1)
    I bridged the Red interface to my Entertain Switch with T-Home Entertain VDSL.
    The forward of the DHCP from the Speedport thru the Red tunnel did not work, so I
    activated a DHCP Server on this Interface of the Astaro, but with the speedport
    as gateway. This worked with my notebook attached to the RED fine, I could surf over the speedport via RED tunnel. Then we connected a T-Home Entertain Router to the RED. The Router bootet and can access program information and you can see the first picture via unicast, but when ist switches to Multicast the picture on then TV stucks because the RED does not let thru the mulitcast traffic.
    2)
    Next I deleted that bridge and configured a new one between RED and my WAN interface.
    Again the DHCP is not passed thru by the RED tunnel, DHCP Server is on the WAN interface of another Astaro connected to the same WAN Switch.
    Then i connected a Notebook to the RED and configured an other WAN IP manually to the Notebook with the same WAN Gateway IP as the Astaro has.
    I can ping the gateway and every IP in the Internet, but no DNS works thru the RED tunnel and no other service. Is there a special firewall rule neccessary ? 
    I can not find any possible rule between the same bridged interfaces to allow traffic.

    So far for today with my experinces, works basically but not really full layer2 forwarding
    like a normal switchport.

    Ralf
Children
  • 0 in reply to rbender

    So far for today with my experinces, works basically but not really full layer2 forwarding
    like a normal switchport.


    The problem here is the bridge on the ASG - it only lets IPv4 / ARP / VLAN and optionally IPv6 pass.

    You can try to make it pass Multicast by adding: 


    ebtables -A FORWARD -d Multicast -j ACCEPT


    The ebtables filter chains should then look like: 


    sigil:/root # ebtables -L

    Bridge table: filter

    

    Bridge chain: INPUT, entries: 3, policy: DROP

    -p IPv4 -j ACCEPT

    -p ARP -j ACCEPT

    -p 802_1Q -j ACCEPT

    

    Bridge chain: FORWARD, entries: 5, policy: DROP

    -p IPv4 -j ACCEPT

    -p ARP -j ACCEPT

    -p 802_1Q -j ACCEPT

    -p IPv6 -j ACCEPT

    -d Multicast -j ACCEPT

    

    Bridge chain: OUTPUT, entries: 3, policy: DROP

    -p IPv4 -j ACCEPT

    -p ARP -j ACCEPT

    -p 802_1Q -j ACCEPT


    I didn't test this, but you get the idea ... be aware this change may get flushed by middleware on the next config change.

    /tom
Unfiltered HTML