Um über eine WAN-Verbindung hinweg einen Stellar-L2GRE-Tunnel zu machen, sind folgende Schritte notwendig:

Der Stellar-AP muss über seine Management-Instanz den Tunnel-Endpunkt auf eine öffentlich erreichbare IP-Adresse setzen. Die wird über das Tunnel-Profil erledigt.

Ausgerollt auf dem Access Points ergibt dies folgende Device-Config:

Die Konfiguration auf dem Switch sieht folgendermaßen aus:

OS6860E-P48-Test-> show configuration snapshot svcmgr
! SVCMGR:
service l2profile "Guest-L2-Prof" stp drop gvrp drop mvrp drop
service access port 1/1/49 vlan-xlation enable
service 4711 l2gre vpnid 4711 vlan-xlation enable remove-ingress-tag enable
service 4711 sap port 1/1/49:231

OS6860E-P48-Test-> show ip interface
Total 6 interfaces
 Flags (D=Directly-bound)

            Name                 IP Address      Subnet Mask     Status Forward  Device   Flags
--------------------------------+---------------+---------------+------+-------+---------+------
EMP-CHAS1                        192.168.20.230  255.255.255.0       UP      NO EMP
EMP-CMMA-CHAS1                   0.0.0.0         0.0.0.0           DOWN      NO EMP
Loopback                         127.0.0.1       255.255.255.255     UP      NO Loopback
Loopback0                        192.168.70.100  255.255.255.255     UP     YES Loopback0
cloudManaged                     x.x.x.x         255.255.224.0       UP     YES VPN tunnel
vlan-70                          192.168.70.101  255.255.255.0       UP     YES vlan 70

Die Pakete, die an die VPN-ID 4711 geschickt werden, werden auf dem Service Access Port 1/1/49 mit dem Tag 231 in das Netz weitergeleitet. Der Rückweg zum Access Point wird dynamisch gelernt und funktioniert ebenfalls.

Die IP-Adresse im 70er-Subnetz ist teil der DMZ. Eine virtuelle IP mit einem Forwarding für GRE-Tunnel ist auf der Firewall aktiviert.

Ein Beispiel für eine Fortigate-Konfiguration: