Como integrar servidor EoGRE com access points Omada

Objetivo

Este artigo descreve a implementação de um servidor concentrador EoGRE (Ethernet over GRE – protocolo IP 47) em Debian 13 com IP público próprio, permitindo integrar múltiplos EAPs Omada remotos.

A solução permite:

• Integração direta com EAPs Omada via EoGRE
• Transporte Layer 2 com VLANs 802.1Q taggeadas
• Fornecimento de DHCP por VLAN
• Saída para internet via NAT
• Suporte simultâneo a múltiplos APs

Requisitos

Controladora

• Omada Controller v6.1.0.19

Access point utilizado no teste

• EAP660 HD (US) v1.0

• Firmware 1.4.3 Build 20250714

Servidor (Concentrador EoGRE)

• Servidor Debian 13
• Kernel 6.12.57+deb13-amd64
• IP Público configurado diretamente no servidor

Pacotes necessários:

• iproute2
• bridge-utils
• isc-dhcp-server
• Iptables

Access points remotos

Todos com acesso via IP/DNS ao servidor Debian 13 e a Controladora Omada.

Introdução

Neste cenário, o servidor Debian possui IP público próprio e atua como concentrador EoGRE para múltiplos EAPs Omada remotos.

Cada EAP estabelece um túnel EoGRE diretamente para o IP público do servidor.

O tráfego transportado dentro do túnel é Layer 2 com VLAN 802.1Q taggeada, permitindo segmentação por VLAN sem necessidade de bridge vlan_filtering.

O servidor realiza:

• Encapsulamento/decapsulamento GRE
• Terminação de VLANs
• Serviço DHCP por VLAN
• NAT para saída internet

Topologia Lógica

Figura 1. Topologia lógica utilizada

Fluxo:

EAP Omada
↓ (EoGRE – GRE IP 47)
IP Público do Servidor Debian
↓
Bridge br-eogre
↓
Subinterfaces VLAN (105–109)
↓
DHCP por VLAN
↓
NAT via br0
↓
Gateway de saída

Configuração Controladora Omada

A primeira parte consiste na configuração dos EAPs na controladora Omada.

Após a adoção dos EAPs na controladora, é necessário configurar o túnel EoGRE apontando para o IP público do servidor Linux. Em seguida, deve-se realizar a configuração da WLAN e do SSID desejado. Nos passos a seguir, estão detalhadas as configurações a serem aplicadas.

Parte 1 - Configuração na Controladora Omada

Inicialmente, deve-se configurar na controladora Omada o IP do túnel EoGRE e definir a MTU em 1468. Em seguida, é necessário configurar o SSID, indicando que o tráfego utilizará o túnel previamente criado. Adicionalmente, neste cenário será utilizada VLAN dinâmica no SSID, conforme apresentado na configuração a seguir.

1.1 Habilitar EoGRE no EAP

Caminho:
Device Config → EoGRE Tunnel

Configuração:

• Enable: ON
• MTU: 1468
• Keepalive: 60s
• Primary Gateway IP: IP público do servidor Debian

Figura 2 - Tela EoGRE Tunnel

1.2 Configuração do SSID

Caminho:
Network Config → WLAN → Edit Wireless Network

Configurações:

• EoGRE Tunnel: Enable
• VLAN: Custom
• VLAN IDs: 105–109

Figura 3 – Tela SSID com EoGRE habilitado

1.3 Redir do ER para o EAP

Neste cenário, foi utilizado um roteador ER com IP público na rede onde o EAP está conectado. Para que o tráfego possa transitar entre o EAP e o concentrador EoGRE, é necessário configurar um redirecionamento adequado. Como se trata de tráfego EoGRE (GRE – IP 47), deve-se criar uma regra para que, quando a origem for o IP público do concentrador EoGRE, o gateway realize uma DMZ para o IP privado do EAP. Siga o passo a passo descrito a seguir.

Observação: O procedimento também funciona com outro gateway na borda, desde que seja realizado o redirecionamento apropriado quando o EAP não possuir IP público diretamente configurado em sua interface.

Caminho:
Network Config → NAT→Create New Rule

Configurações:

• Status: Enable
• Source IP: IP Público do servidor
• DMZ: Enable
• Destination IP: IP privado do EAP

Figura 4 – Redir do ER para o EAP

Parte 2 - Configuração no DEBIAN 13

Agora vamos para a configuração do concentrador EoGRE em ambiente Linux, utilizando neste cenário o Debian 13.

Será utilizado o GreTAP como estrutura de túnel EoGRE, recurso nativo do kernel do Linux.

Adicionalmente, o servidor realizará o roteamento interno, bem como executará os serviços de DHCP e NAT. Caso não se deseje utilizar DHCP e NAT diretamente no Linux, será necessário encaminhar o tráfego recebido via Layer 2 para a rede interna e para o servidor DHCP existente na infraestrutura. Esta etapa não é abordada neste tutorial.

A seguir, são apresentados os procedimentos no Debian via CLI, com os respectivos comandos e suas explicações.

2.1 Instalar Dependências

• apt update
• apt install -y iproute2 bridge-utils isc-dhcp-server iptables

2.2 Habilitar Roteamento no Debian

• echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/99-forward.conf
• sysctl -p /etc/sysctl.d/99-forward.conf

2.3 Criar Bridge Principal

• ip link add br-eogre type bridge
• ip link set br-eogre up

2.4 Criar Túneis EoGRE (Multi-AP)

Nesta etapa, serão criados túneis EoGRE para cada EAP utilizado. Neste cenário, foram configurados dois EAPs. A nomenclatura dos túneis seguiu a lógica de identificar, no nome da interface, o início do IP público do respectivo EAP.

É necessário definir o IP público do concentrador em cada túnel. Caso o IP do servidor seja alterado, será preciso ajustar a configuração dos túneis para refletir o novo endereço.

Substituir 200.200.200.200 pelo IP público do servidor.

• ip link add gretap-138 type gretap local 200.200.200.200 remote 138.0.0.1 ttl 64
• ip link set gretap-138 up
• ip link set gretap-138 master br-eogre

• ip link add gretap-187 type gretap local 200.200.200.200 remote 187.0.0.1 ttl 64
• ip link set gretap-187 up
• ip link set gretap-187 master br-eogre

2.5 Criar Subinterfaces VLAN

Após o estabelecimento do túnel, as requisições DHCP Discovery em Layer 2 passarão a chegar pelas interfaces do servidor. Neste momento, é necessário criar uma subinterface para cada VLAN que se deseja utilizar. Neste exemplo, serão configuradas cinco VLANs.

Exemplo VLAN 105:

• ip link add link br-eogre name br-eogre.105 type vlan id 105
• ip link set br-eogre.105 up
• ip addr add 192.168.105.1/24 dev br-eogre.10

Repetir para VLANs:

• 106
• 107
• 108
• 109

2.6 Configurar DHCP por VLAN

Com a requisição de DHCP Discovery chegando à subinterface VLAN correspondente, é necessário configurar um escopo de DHCP para cada uma delas. Neste cenário, será utilizado o serviço isc-dhcp-server no Debian 13.

A seguir, apresenta-se o passo a passo para a configuração do arquivo do isc-dhcp-server, considerando que o pacote já foi instalado nas dependências.

Recomendação: remova as configurações padrão do arquivo e adicione apenas os escopos correspondentes às VLANs utilizadas no ambiente.

Arquivo:

/etc/dhcp/dhcpd.conf

Criar escopo individual para cada VLAN (105–109).

default-lease-time 600;

max-lease-time 7200;

authoritative;

subnet 192.168.105.0 netmask 255.255.255.0 {

range 192.168.105.50 192.168.105.200;

option routers 192.168.105.1;

option domain-name-servers 8.8.8.8, 8.8.4.4;

}

Continuar criando por vlan utilizada

Ativar interfaces:

echo 'INTERFACESv4="br-eogre.105 br-eogre.106 br-eogre.107 br-eogre.108 br-eogre.109"' > /etc/default/isc-dhcp-server
systemctl restart isc-dhcp-server
systemctl enable isc-dhcp-server

2.7 Configurar NAT

Neste cenário, o NAT será configurado diretamente no Linux. Para isso, devem ser aplicados os comandos correspondentes a cada uma das redes criadas.

• iptables -t nat -A POSTROUTING -s 192.168.105.0/24 -o br0 -j MASQUERADE
• iptables -t nat -A POSTROUTING -s 192.168.106.0/24 -o br0 -j MASQUERADE
• iptables -t nat -A POSTROUTING -s 192.168.107.0/24 -o br0 -j MASQUERADE
• iptables -t nat -A POSTROUTING -s 192.168.108.0/24 -o br0 -j MASQUERADE
• iptables -t nat -A POSTROUTING -s 192.168.109.0/24 -o br0 -j MASQUERADE

2.8 Regras de Forward

Deve-se liberar o encaminhamento do tráfego com os seguintes comandos:

• iptables -P FORWARD DROP
• iptables -A FORWARD -i br-eogre+ -o br0 -j ACCEPT
• iptables -A FORWARD -i br0 -o br-eogre+ -m state --state RELATED,ESTABLISHED -j ACCEPT

2.9 Liberar GRE (IP 47)

Como está sendo utilizado o protocolo GRE, é necessário liberá-lo no iptables. Siga os comandos abaixo:

• iptables -A INPUT -p 47 -j ACCEPT

2.10 Verificação

Verifique cada uma das etapas realizadas, confirme se o roteamento está correto e valide a chegada de pacotes utilizando o protocolo GRE (IP 47).

• ip route
• ip -s link show | grep -A4 gretap
• iptables -t nat -L -n -v
• tcpdump -ni any proto 47

Conclusão

A implementação valida a viabilidade de um servidor concentrador EoGRE dedicado para integração com EAPs Omada, suportando:

• Transporte L2 via EoGRE
• Encapsulamento correto de VLAN 802.1Q
• DHCP centralizado por VLAN
• NAT para múltiplas redes
• Escalabilidade para múltiplos APs

A arquitetura permite expansão simples com a adição de novos túneis e novas VLANs.

QA

O servidor precisa de IP público?
Sim. O EAP estabelece túnel diretamente para o IP público do servidor.

É necessário bridge vlan_filtering?
Não. O tráfego já chega taggeado dentro do túnel.

Como adicionar novo AP?
Criar novo gretap apontando para o IP remoto do EAP.

Como adicionar nova VLAN?
Criar nova subinterface br-eogre.X, gateway IP, escopo DHCP e regra NAT.