Re: [FRnOG] [TECH] Bgp sous FRR
On Mon, May 27, 2024, at 20:42, Nicolas wrote: > ip prefix-list Peering-Out-BGP01 seq 5 permit 192.168.253.0/24 > ip prefix-list Transit-In seq 35 permit any > ! > route-map rm-Transit-In permit 1 > match ip address prefix-list Transit-In > on-match next > set src 192.168.253.1 > exit > ! > route-map rm-Transit-Out permit 1 > match ip address prefix-list Transit-Out > on-match next > set src 192.168.253.1 > exit Plutot (faut pas oublier l'existence d'un implicit deny a la fin): route-map rm-Transit-In permit 1 on-match next set src 192.168.253.1 exit route-map rm-Transit-In permit match ip address prefix-list Transit-In exit ou bien (moins evolutif): route-map rm-Transit-In permit 1000 match ip address prefix-list Transit-In set src 192.168.253.1 exit Faut aussi verifier que les routes cote kernel ont bien le parametre src et que le src correspond bien a une IP locale dur routeur. Pour les routes annonces, pas la peine, sont des annonces, pas des choses a installer dans la table de routage. route-map rm-Transit-Out permit 1000 match ip address prefix-list Transit-Out exit --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
J'ai modifié la conf de BGP02 pour mettre en place les route-map comme conseillé. Résultat : je sort toujours en 192.168.253.2 Mais pas mieux, j'ai loupé un truc ? router bgp 65001 bgp router-id 192.168.250.2 neighbor 192.168.250.1 remote-as 65000 neighbor 192.168.250.1 description BGP01 neighbor 192.168.251.1 remote-as 65002 neighbor 192.168.251.1 description BGP03 ! address-family ipv4 unicast network 192.168.253.0/24 neighbor 192.168.250.1 weight 100 neighbor 192.168.250.1 route-map rm-Transit-In in neighbor 192.168.250.1 route-map rm-Transit-Out out neighbor 192.168.251.1 weight 100 neighbor 192.168.251.1 prefix-list Transit-In in neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out exit-address-family exit ! ip prefix-list Peering-Out-BGP01 seq 5 permit 192.168.253.0/24 ip prefix-list Transit-In seq 35 permit any ! route-map rm-Transit-In permit 1 match ip address prefix-list Transit-In on-match next set src 192.168.253.1 exit ! route-map rm-Transit-Out permit 1 match ip address prefix-list Transit-Out on-match next set src 192.168.253.1 exit Le 27/05/2024 à 14:23, Radu-Adrian Feurdean a écrit : On Sun, May 26, 2024, at 11:56, Nicolas wrote: neighbor 192.168.250.1 prefix-list Transit-In in neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out neighbor 192.168.251.1 prefix-list Transit-In in neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out Hello, De maniere generale utilise *TOUJOURS* des route-maps (pas de prefix-list directement). En in et en out. Les prefix-list ou autre chose, tu peux les utiliser a l'interieur des route-maps. Une fois ca regle, commence ta route-map in par: route-map rm-Transit-In permit 1 on-match next set src 192.168.253.10 ! Le reste de la route-map Pour l'IP source, j'ai mis celui de l'interface vers l'interieur. Mais dans un routeur avec plusieurs interfaces, faut penser a toujours avoir une loopback, qui elle peut tres bien servir d'IP source. La plupart des constructeurs permettent d'ailleurs de specifier l'interface,l'IP ou le VRF par default des connexions sortantes. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[TECH] [FRnOG] [MISC] Cisco UCCX call manger... se former.
Bonsoir a tous, D'ici quelques semaines je vais avoir du temps pour me former et comme je désire refaire de la VOIP j'ai quelques questions au sujet de Cisco UCCX. Je précise que je possède quelques bases sur le sujet en me formant sur de l'alcatel 4200, omnipcx et depuis 15 années sous Asterisk. Avez-vous des sites de référence, blog, tutoriel a me recommander ? Il existe GNS3 pour se faire son lab virtuel mais existe il l équivalent pour la VoIP ? Sinon avez-vous des conseils sur de références de matos d'occasion pour me faire la main? Pour les certifications je dois commencer par quoi? Voila beaucoup de questions pour un nul :-) Bonne soirée Richard --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
On Mon 27 May 2024 08:29:31 GMT, Raphael Mazelier wrote: > Ok mais dans ce cas pourquoi pas en privé ? (ok cela évite d'avoir a > se mettre d'accord sur un plan d’adressage). Tu as ta réponse. -- Alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
On Mon, May 27, 2024, at 14:42, Nicolas de Brou wrote: > Si je mets une ip (publique) sur ma loopback je ne pourrais plus > accéder à mon réseau interne non (même subnet) ? Sur la Loopback tu mets surtout une IP dans ton plan d'adressage a toi ! Et de maniere generale, le loopback sert aussi a d'autres choses (tu vais y arriver quand tu auras un 2 routeur, pour faire de l'IBGP). C'est pour ca qu'il est reccomande d'utiliser une IP globalement unique. Sinon, pour l'IP source que tu mets dans la route-map, c'est surtout pour les connexions *SORTANTES* de ton routeur, rien a voir avec comment tu te connectes au routeur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Sur la loopback, on met un /32, par exemple pris dans un subnet dédié à ça. Tu as quoi comme préfixes publics dispo ? Si tu as juste le /29 fourni par le FAI, ça va être tendu. De toute façon, si tu ne sais pas comment altérer l’IP source, ça ne réglera pas ton problème. Tu as essayé la directive set src ? Sinon j’en reviens à la méthode proxy. Tout Linux peut taper dans un proxy pour toutes les commandes du shell, faut juste paramétrer les bons variables ENV. David > Le 27 mai 2024 à 14:42, Nicolas de Brou a écrit : > > Si je mets une ip (publique) sur ma loopback je ne pourrais plus accéder à > mon réseau interne non (même subnet) ? > > Et oui j’ai bien désactivé l’urographie > >> Le 27 mai 2024 à 14:24, Radu-Adrian Feurdean >> a écrit : >> >> On Sun, May 26, 2024, at 11:56, Nicolas wrote: >> >>> neighbor 192.168.250.1 prefix-list Transit-In in >>> neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out >>> neighbor 192.168.251.1 prefix-list Transit-In in >>> neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out >> >> Hello, >> >> De maniere generale utilise *TOUJOURS* des route-maps (pas de prefix-list >> directement). >> En in et en out. >> Les prefix-list ou autre chose, tu peux les utiliser a l'interieur des >> route-maps. >> >> Une fois ca regle, commence ta route-map in par: >> >> route-map rm-Transit-In permit 1 >> on-match next >> set src 192.168.253.10 >> ! >> Le reste de la route-map >> >> Pour l'IP source, j'ai mis celui de l'interface vers l'interieur. Mais dans >> un routeur avec plusieurs interfaces, faut penser a toujours avoir une >> loopback, qui elle peut tres bien servir d'IP source. La plupart des >> constructeurs permettent d'ailleurs de specifier l'interface,l'IP ou le VRF >> par default des connexions sortantes. >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
On 27/05/2024 14:42, Nicolas de Brou wrote: > Si je mets une ip (publique) sur ma loopback je ne pourrais plus accéder à > mon réseau interne non (même subnet) ? > > Et oui j’ai bien désactivé l’urographie Rien ne t'empeche d'avoir plusieurs loopback. La topologie classique d'un cœur réseau c'est d'avoir une plage d'IPs de loopbacks (publiques ou privés) qui sont uniquement distribué par l'IGP. Et c'est ces memes IPs de loopbacks qui te servent à monter ton mesh IBGP. Ensuite si tu veux que ton routeur accède à Internet il faut bien qu'il possède une IP publique routé quelconque. (enfin du moins une IP que tu peux sourcer et qui va être routé back sur ce routeur). -- Raph --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Si je mets une ip (publique) sur ma loopback je ne pourrais plus accéder à mon réseau interne non (même subnet) ? Et oui j’ai bien désactivé l’urographie > Le 27 mai 2024 à 14:24, Radu-Adrian Feurdean > a écrit : > > On Sun, May 26, 2024, at 11:56, Nicolas wrote: > >> neighbor 192.168.250.1 prefix-list Transit-In in >> neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out >> neighbor 192.168.251.1 prefix-list Transit-In in >> neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out > > Hello, > > De maniere generale utilise *TOUJOURS* des route-maps (pas de prefix-list > directement). > En in et en out. > Les prefix-list ou autre chose, tu peux les utiliser a l'interieur des > route-maps. > > Une fois ca regle, commence ta route-map in par: > > route-map rm-Transit-In permit 1 > on-match next > set src 192.168.253.10 > ! > Le reste de la route-map > > Pour l'IP source, j'ai mis celui de l'interface vers l'interieur. Mais dans > un routeur avec plusieurs interfaces, faut penser a toujours avoir une > loopback, qui elle peut tres bien servir d'IP source. La plupart des > constructeurs permettent d'ailleurs de specifier l'interface,l'IP ou le VRF > par default des connexions sortantes. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
On Sun, May 26, 2024, at 11:56, Nicolas wrote: > neighbor 192.168.250.1 prefix-list Transit-In in > neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out > neighbor 192.168.251.1 prefix-list Transit-In in > neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out Hello, De maniere generale utilise *TOUJOURS* des route-maps (pas de prefix-list directement). En in et en out. Les prefix-list ou autre chose, tu peux les utiliser a l'interieur des route-maps. Une fois ca regle, commence ta route-map in par: route-map rm-Transit-In permit 1 on-match next set src 192.168.253.10 ! Le reste de la route-map Pour l'IP source, j'ai mis celui de l'interface vers l'interieur. Mais dans un routeur avec plusieurs interfaces, faut penser a toujours avoir une loopback, qui elle peut tres bien servir d'IP source. La plupart des constructeurs permettent d'ailleurs de specifier l'interface,l'IP ou le VRF par default des connexions sortantes. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
io, > On 16 May 2024, at 18:04, Nicolas de Brou wrote: > > Hello > > Je me suis mal exprimé, désolé > > On a deux transitaire et ça fonctionne > Le routeur « route » et les majs bgp fonctionne tu as bien désactivé urpf sur ton linux sous-jacent ? ++ ic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
On 26/05/2024 21:34, Jérôme Marteaux wrote: > Cette astuce permet de réduire la surface d'attaque mais n'est pas aisé > pour troubleshooter si on ne se trouve pas à l'intérieur de l'un des > deux réseaux impliqués. Ce n'est pas très répandu, mais c'est encore > pratiqué. Ok mais dans ce cas pourquoi pas en privé ? (ok cela évite d'avoir a se mettre d'accord sur un plan d’adressage). -- Raph --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Le Sun, May 26, 2024 at 06:46:07PM +0200, Lucas REYMOND a écrit : > Salut, > > Je me plante peut être mais ton problème n'est pas lié au fait que ton > routeur tourne Frr. Mais plutôt aux applications sous jacente (mettre à > jour). > C'est un peu tot pour vendredi mais ça n'arriverai pas avec IPv6 :p --- Liste de diffusion du FRnOG http://www.frnog.org/
