GRE Tunnel auf Cisco Router: Wann sinnvoll, wann nicht

GRE (Generic Routing Encapsulation) ist ein Tunnelprotokoll, das beliebige Layer-3-Pakete in ein neues IP-Paket kapselt. Auf Cisco Routern wird GRE oft genutzt, um Routing-Protokolle, Multicast oder zusätzliche Netze sauber über ein IP-Netz (z. B. Internet, Provider-WAN) zu transportieren. Wichtig ist aber: GRE bietet keine Verschlüsselung. Wenn Vertraulichkeit oder Integrität benötigt wird, muss GRE typischerweise mit IPsec kombiniert werden (GRE over IPsec). Dieser Überblick erklärt, wann GRE technisch sinnvoll ist – und wann du besser direkt IPsec, MPLS/SD-WAN oder einfache statische Routen nutzt.

Was GRE technisch macht (und was nicht)

GRE erstellt eine Point-to-Point-Tunnel-Schnittstelle. Pakete, die über das Tunnel-Interface gesendet werden, werden in ein Outer-IP-Paket gekapselt und über das Underlay transportiert. Die Gegenstelle decapsuliert und liefert das ursprüngliche Paket weiter.

• Kapselung: „Inner IP“ in „Outer IP“
• Tunnel-Interface wirkt wie ein virtuelles P2P-Link
• Kein Schutz: keine Verschlüsselung, keine Authentifizierung

Prinzipdarstellung

Inner Packet  +  GRE Header  +  Outer IP Header  →  Transport über Underlay

Wann GRE sinnvoll ist

GRE ist besonders dann nützlich, wenn du Funktionen brauchst, die reines IPsec Site-to-Site (policy-based) nicht elegant abbildet: dynamisches Routing, Multicast oder mehrere Netze ohne viele Crypto-Selector-Regeln.

• Dynamisches Routing über das Internet (OSPF/EIGRP/BGP)
• Transport von Multicast (z. B. für bestimmte Legacy-Anwendungen)
• Viele Subnetze: ein Tunnel-Interface statt viele Crypto ACL Einträge
• Overlays: saubere Trennung von Underlay und Overlay-Routing

Praxisbeispiel: Routing-Protokoll über GRE

OSPF über GRE ist oft einfacher als OSPF direkt über policy-based IPsec, weil der Tunnel wie ein normales Interface wirkt.

router ospf 1
 network 10.0.0.0 0.0.0.3 area 0

Wann GRE nicht sinnvoll ist

Wenn du nur ein einziges Subnetz verbinden willst und keine besonderen Anforderungen hast, ist GRE oft unnötig. Zusätzlich ist GRE ohne IPsec im Internet keine Sicherheitslösung.

• Nur wenige Netze, statische Routen reichen → kein GRE nötig
• Security-Anforderung (Verschlüsselung) → GRE allein ungeeignet
• Komplexität vermeiden: weniger Overhead, weniger MTU-Probleme

GRE vs. IPsec: unterschiedliche Aufgaben

GRE löst Transport-/Overlay-Probleme, IPsec löst Security. Darum ist die Kombination „GRE over IPsec“ so häufig: GRE liefert Flexibilität (Routing/Multicast), IPsec liefert Verschlüsselung und Integrität.

• GRE: Overlay, Routing-Flexibilität
• IPsec: Vertraulichkeit, Integrität, Authentizität
• Kombiniert: funktional + sicher (typisches Enterprise-Muster)

Merker

GRE  +   IPsec  =>  Flexibilität + Sicherheit

Minimal-Konfiguration: GRE Tunnel Interface

Ein GRE-Tunnel braucht eine Tunnel-IP (Overlay), Source/Destination (Underlay-Endpunkte) und optional Keepalives. Die Underlay-IP muss natürlich geroutet/erreichbar sein.

Beispiel: GRE zwischen zwei Public IPs

• Router A Public: 203.0.113.2
• Router B Public: 198.51.100.2
• Tunnel IPs: 10.0.0.1/30 ↔ 10.0.0.2/30

Router A: Tunnel0

RouterA# configure terminal
RouterA(config)# interface tunnel0
RouterA(config-if)# description GRE-to-RouterB
RouterA(config-if)# ip address 10.0.0.1 255.255.255.252
RouterA(config-if)# tunnel source 203.0.113.2
RouterA(config-if)# tunnel destination 198.51.100.2
RouterA(config-if)# keepalive 10 3
RouterA(config-if)# end

Router B: Tunnel0

RouterB# configure terminal
RouterB(config)# interface tunnel0
RouterB(config-if)# description GRE-to-RouterA
RouterB(config-if)# ip address 10.0.0.2 255.255.255.252
RouterB(config-if)# tunnel source 198.51.100.2
RouterB(config-if)# tunnel destination 203.0.113.2
RouterB(config-if)# keepalive 10 3
RouterB(config-if)# end

Routing über GRE: Statisch oder dynamisch

Wenn der Tunnel steht, kannst du Routen über die Tunnel-IP setzen oder ein IGP/BGP über das Tunnel-Interface betreiben. Für wenige Netze reichen oft statische Routen; bei vielen Standorten ist dynamisches Routing über GRE attraktiver.

Statische Route über den Tunnel

RouterA(config)# ip route 192.168.20.0 255.255.255.0 10.0.0.2
RouterB(config)# ip route 192.168.10.0 255.255.255.0 10.0.0.1

OSPF über GRE (Beispielprinzip)

RouterA(config)# router ospf 1
RouterA(config-router)# network 10.0.0.0 0.0.0.3 area 0
RouterB(config)# router ospf 1

RouterB(config-router)# network 10.0.0.0 0.0.0.3 area 0

GRE over IPsec: warum MTU/MSS hier oft wichtig wird

GRE und IPsec fügen Overhead hinzu. Dadurch sinkt die effektive MTU, und ohne MSS-Clamping können Webseiten/VPN-Anwendungen „komisch“ hängen. In GRE-over-IPsec-Designs ist MSS-Clamping praktisch Pflicht.

• Mehr Overhead → kleinere effektive MTU
• PMTUD kann durch ICMP-Filtering brechen
• MSS-Clamping reduziert TCP-Probleme

MSS-Clamp am Tunnel (typischer Startwert)

RouterA(config)# interface tunnel0
RouterA(config-if)# ip tcp adjust-mss 1360

Verifikation: Steht der Tunnel wirklich?

Du prüfst Interface-Status, Tunnel-Erreichbarkeit, Routing und ggf. Keepalive-Status. Zusätzlich testest du End-to-End zu einem Host im Remote-LAN.

Tunnel-Status und Routing prüfen

Router# show ip interface brief | include Tunnel
Router# show interfaces tunnel0
Router# show ip route 10.0.0.0
Router# ping 10.0.0.2 source 10.0.0.1

End-to-End Test

RouterA# ping 192.168.20.10 source 192.168.10.1
RouterA# traceroute 192.168.20.10

Typische Probleme und schnelle Fixes

GRE-Probleme sind häufig Underlay-Probleme: Peer-IP nicht erreichbar, NAT blockiert GRE (IP-Protokoll 47), oder MTU/Fragmentation stört. In Internet-Szenarien ist außerdem wichtig, dass Firewalls GRE zulassen.

• Peer-IP nicht erreichbar (Default Route/ISP) → Tunnel down
• Firewall blockt GRE (IP-Protokoll 47) → keine Kapselung möglich
• NAT im Pfad: GRE kann problematisch sein ohne passende Geräte
• MTU/MSS: Traffic hängt trotz „Tunnel up“

Quick-Checks

show ip route | include Gateway|0.0.0.0
ping <peer-public-ip>
show interfaces tunnel0
show ip route
show logging

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.