Re: [FRnOG] [TECH] Bgp sous FRR
Bonsoir, L'intérêt de ce filtrage, d'après l'intervenant de chez agrume France est d'assurer que les paquets sortant sur "l'internet" aient une source appartenant aux blocs IP du client pour faciliter son identification. Ça sent le bull$hit...mais le blocage lui est bien là. Le seul changement a été le bloc d'interco. Pas de changement de service, de VLAN,(Au moins côté client). Laurent. Le 20 juin 2024 13:21:15 UTC, "Jérôme Marteaux" a écrit : >Bonjour, > >Le 20/06/2024 à 11:19, Laurent CARON a écrit : >> Bonjour, >> >> J'ai eu le cas la semaine dernière chez l'agrume (5511). >> >> Livraison de 2 sessions BGP4 pour lesquelles le traceroute/MTR est >> systématiquement menteur (toutes les destinations sont directement >> connectées au nexthop), seul port non filtré en sortie tcp/179 (bgp). >> > >Quel est l'intérêt de ce "filtrage" ? >Et comment c'est réalisé ? > >> En entrée en revanche, aucun filtrage. >> >> La solution a été de passer par agrume {inde,pologne,france} ("bah oui >> m'sieur, nos gros clients sont majoritairement à l'international") pour >> changer de bloc d'interco pour un qui ne dispose pas de ces filtres... >> > >Juste le bloc d'interco ou changement de service/plaque/produit IP ? > > >Jérôme > >-- >Jérôme Marteaux > > >--- >Liste de diffusion du FRnOG >http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Bonjour, Le 20/06/2024 à 11:19, Laurent CARON a écrit : Bonjour, J'ai eu le cas la semaine dernière chez l'agrume (5511). Livraison de 2 sessions BGP4 pour lesquelles le traceroute/MTR est systématiquement menteur (toutes les destinations sont directement connectées au nexthop), seul port non filtré en sortie tcp/179 (bgp). Quel est l'intérêt de ce "filtrage" ? Et comment c'est réalisé ? En entrée en revanche, aucun filtrage. La solution a été de passer par agrume {inde,pologne,france} ("bah oui m'sieur, nos gros clients sont majoritairement à l'international") pour changer de bloc d'interco pour un qui ne dispose pas de ces filtres... Juste le bloc d'interco ou changement de service/plaque/produit IP ? Jérôme -- Jérôme Marteaux --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Bonjour, J'ai eu le cas la semaine dernière chez l'agrume (5511). Livraison de 2 sessions BGP4 pour lesquelles le traceroute/MTR est systématiquement menteur (toutes les destinations sont directement connectées au nexthop), seul port non filtré en sortie tcp/179 (bgp). En entrée en revanche, aucun filtrage. La solution a été de passer par agrume {inde,pologne,france} ("bah oui m'sieur, nos gros clients sont majoritairement à l'international") pour changer de bloc d'interco pour un qui ne dispose pas de ces filtres... Achetez Français! Mes 0.02€. Le 26/05/2024 à 19:07, Raphael Mazelier a écrit : Des ip(s) d'interco publiques mais non routé sur internet ? c'est peu pratique et étonnant. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Bonjour à tous, Encore merci à tout ceux qui m'ont aidé et qui ont pris le temps de me répondre. En retour, je vous donne le résultat car j'ai réussi. J'ai pu valider 2 solutions : - en utilisant le pare-feu de linux. ça marche parfaitement, mais je ne trouve pas cette solution très "propre" au sens réseau du terme. De plus, je n'ai pas pu tester l'impact sur la performance en mettant de la translation à ce niveau. - utilisation de route-maps ; Voici la configuration pour ceux que ça interesse. L'astuce est d'utiliser une route map au niveau protocole (ici la ligne ip protocole bgp...) J'ai remis à propre aussi les prefix-list en les utilisants dans des route-map également car j'ai cru comprendre que c'était une meilleur pratique. Encore merci à tous bgp04# sh run Building configuration... Current configuration: ! frr version 8.4.4 frr defaults traditional hostname bgp04 log syslog informational no ipv6 forwarding service integrated-vtysh-config ! router bgp 65004 bgp router-id 192.168.254.4 no bgp suppress-duplicates no bgp hard-administrative-reset no bgp graceful-restart notification neighbor 192.168.252.2 remote-as 65002 neighbor 192.168.252.2 description BGP02 neighbor 192.168.252.2 interface enp0s3 ! address-family ipv4 unicast network 192.168.254.0/24 neighbor 192.168.252.2 route-map rm-in-bgp2 in neighbor 192.168.252.2 route-map rm-out-bgp2 out exit-address-family exit ! ip prefix-list Peering-Out-BGP02 seq 5 permit 192.168.254.0/24 ip prefix-list Peering-In-BGP02 seq 50 deny 0.0.0.0/0 ip prefix-list Peering-In-BGP02 seq 60 permit any ip prefix-list int-bgp2 seq 5 deny 192.168.252.2/32 ip prefix-list int-bgp2 seq 10 permit any ! route-map rm-in-bgp2 permit 10 match ip address prefix-list Peering-In-BGP02 exit ! route-map rm-out-bgp2 permit 10 match ip address prefix-list Peering-Out-BGP02 exit ! route-map rm-src-bgp2 permit 10 match ip address prefix-list int-bgp2 set src 192.168.254.4 exit ! ip protocol bgp route-map rm-src-bgp2 ! end bgp04# Le 29/05/2024 à 09:05, David Ponzone a écrit : Oui je crois qu’il avait précisé qu’il n’avait pas d’IP publique routée niveau WAN d’interco (comme sur un IX). Les seules IP publiques qu’il a sont sur le LAN de BGP02, donc il doit « sourcer » avec ça. Pour moi, la seule solution propre, c’est VRF de mgmt, qu’en plus on peut rendre accessible depuis l’OOB. David Le 29 mai 2024 à 04:12, Willy Manga a écrit : Bonjour, On 26/05/2024 13:56, Nicolas wrote: Bonjour, J'ai remonté une infra de test pour reproduire mon soucis. L'architecture PC de Test <--> Routeur BGP02 <-> Routeur BGP01 <--> Box 192.168.253.10 192.168.253.1 / 192.168.250.2 192.168/250.1 / 192.168.2.111 192.168.2.1 [...] J'ai tâché de reproduire votre configuration à quelques exceptions près. Pour que ça soit bien lisible j'ai collé toutes les configs et résultats ici http://paste.debian.net/1318432/ Donc : * Depuis le réseau 192.168.253.0/24 => accès internet ok * depuis le routeur bgp01 => accès internet ok * depuis le routeur bgp02 => Internet KO En assumant que j'ai reproduis 'presque' à l'identique votre schéma et en 'simulant' une adresse publique depuis la box, depuis bgp02 j'arrive bien à 'accéder à l' "Internet" sans modifier les ip d'origine des paquets. A moins bien sur que je me sois trompé quelque part dans mon modèle. -- Willy Manga --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Oui je crois qu’il avait précisé qu’il n’avait pas d’IP publique routée niveau WAN d’interco (comme sur un IX). Les seules IP publiques qu’il a sont sur le LAN de BGP02, donc il doit « sourcer » avec ça. Pour moi, la seule solution propre, c’est VRF de mgmt, qu’en plus on peut rendre accessible depuis l’OOB. David > Le 29 mai 2024 à 04:12, Willy Manga a écrit : > > Bonjour, > > On 26/05/2024 13:56, Nicolas wrote: >> Bonjour, >> J'ai remonté une infra de test pour reproduire mon soucis. >> L'architecture >> PC de Test <--> Routeur BGP02 >> <-> Routeur BGP01 >> <--> Box >> 192.168.253.10 192.168.253.1 / 192.168.250.2 >>192.168/250.1 / 192.168.2.111 >>192.168.2.1 > >> [...] > > > J'ai tâché de reproduire votre configuration à quelques exceptions près. > Pour que ça soit bien lisible j'ai collé toutes les configs et résultats ici > http://paste.debian.net/1318432/ > > >> Donc : >> * Depuis le réseau 192.168.253.0/24 => accès internet ok >> * depuis le routeur bgp01 => accès internet ok >> * depuis le routeur bgp02 => Internet KO > > En assumant que j'ai reproduis 'presque' à l'identique votre schéma et en > 'simulant' une adresse publique depuis la box, depuis bgp02 j'arrive bien à > 'accéder à l' "Internet" sans modifier les ip d'origine des paquets. A moins > bien sur que je me sois trompé quelque part dans mon modèle. > > > -- > Willy Manga > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Bonjour, On 26/05/2024 13:56, Nicolas wrote: Bonjour, J'ai remonté une infra de test pour reproduire mon soucis. L'architecture PC de Test <--> Routeur BGP02 <-> Routeur BGP01 <--> Box 192.168.253.10 192.168.253.1 / 192.168.250.2 192.168/250.1 / 192.168.2.111 192.168.2.1 [...] J'ai tâché de reproduire votre configuration à quelques exceptions près. Pour que ça soit bien lisible j'ai collé toutes les configs et résultats ici http://paste.debian.net/1318432/ Donc : * Depuis le réseau 192.168.253.0/24 => accès internet ok * depuis le routeur bgp01 => accès internet ok * depuis le routeur bgp02 => Internet KO En assumant que j'ai reproduis 'presque' à l'identique votre schéma et en 'simulant' une adresse publique depuis la box, depuis bgp02 j'arrive bien à 'accéder à l' "Internet" sans modifier les ip d'origine des paquets. A moins bien sur que je me sois trompé quelque part dans mon modèle. -- Willy Manga --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
On Mon, May 27, 2024, at 20:42, Nicolas wrote: > ip prefix-list Peering-Out-BGP01 seq 5 permit 192.168.253.0/24 > ip prefix-list Transit-In seq 35 permit any > ! > route-map rm-Transit-In permit 1 > match ip address prefix-list Transit-In > on-match next > set src 192.168.253.1 > exit > ! > route-map rm-Transit-Out permit 1 > match ip address prefix-list Transit-Out > on-match next > set src 192.168.253.1 > exit Plutot (faut pas oublier l'existence d'un implicit deny a la fin): route-map rm-Transit-In permit 1 on-match next set src 192.168.253.1 exit route-map rm-Transit-In permit match ip address prefix-list Transit-In exit ou bien (moins evolutif): route-map rm-Transit-In permit 1000 match ip address prefix-list Transit-In set src 192.168.253.1 exit Faut aussi verifier que les routes cote kernel ont bien le parametre src et que le src correspond bien a une IP locale dur routeur. Pour les routes annonces, pas la peine, sont des annonces, pas des choses a installer dans la table de routage. route-map rm-Transit-Out permit 1000 match ip address prefix-list Transit-Out exit --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
J'ai modifié la conf de BGP02 pour mettre en place les route-map comme conseillé. Résultat : je sort toujours en 192.168.253.2 Mais pas mieux, j'ai loupé un truc ? router bgp 65001 bgp router-id 192.168.250.2 neighbor 192.168.250.1 remote-as 65000 neighbor 192.168.250.1 description BGP01 neighbor 192.168.251.1 remote-as 65002 neighbor 192.168.251.1 description BGP03 ! address-family ipv4 unicast network 192.168.253.0/24 neighbor 192.168.250.1 weight 100 neighbor 192.168.250.1 route-map rm-Transit-In in neighbor 192.168.250.1 route-map rm-Transit-Out out neighbor 192.168.251.1 weight 100 neighbor 192.168.251.1 prefix-list Transit-In in neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out exit-address-family exit ! ip prefix-list Peering-Out-BGP01 seq 5 permit 192.168.253.0/24 ip prefix-list Transit-In seq 35 permit any ! route-map rm-Transit-In permit 1 match ip address prefix-list Transit-In on-match next set src 192.168.253.1 exit ! route-map rm-Transit-Out permit 1 match ip address prefix-list Transit-Out on-match next set src 192.168.253.1 exit Le 27/05/2024 à 14:23, Radu-Adrian Feurdean a écrit : On Sun, May 26, 2024, at 11:56, Nicolas wrote: neighbor 192.168.250.1 prefix-list Transit-In in neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out neighbor 192.168.251.1 prefix-list Transit-In in neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out Hello, De maniere generale utilise *TOUJOURS* des route-maps (pas de prefix-list directement). En in et en out. Les prefix-list ou autre chose, tu peux les utiliser a l'interieur des route-maps. Une fois ca regle, commence ta route-map in par: route-map rm-Transit-In permit 1 on-match next set src 192.168.253.10 ! Le reste de la route-map Pour l'IP source, j'ai mis celui de l'interface vers l'interieur. Mais dans un routeur avec plusieurs interfaces, faut penser a toujours avoir une loopback, qui elle peut tres bien servir d'IP source. La plupart des constructeurs permettent d'ailleurs de specifier l'interface,l'IP ou le VRF par default des connexions sortantes. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
On Mon 27 May 2024 08:29:31 GMT, Raphael Mazelier wrote: > Ok mais dans ce cas pourquoi pas en privé ? (ok cela évite d'avoir a > se mettre d'accord sur un plan d’adressage). Tu as ta réponse. -- Alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
On Mon, May 27, 2024, at 14:42, Nicolas de Brou wrote: > Si je mets une ip (publique) sur ma loopback je ne pourrais plus > accéder à mon réseau interne non (même subnet) ? Sur la Loopback tu mets surtout une IP dans ton plan d'adressage a toi ! Et de maniere generale, le loopback sert aussi a d'autres choses (tu vais y arriver quand tu auras un 2 routeur, pour faire de l'IBGP). C'est pour ca qu'il est reccomande d'utiliser une IP globalement unique. Sinon, pour l'IP source que tu mets dans la route-map, c'est surtout pour les connexions *SORTANTES* de ton routeur, rien a voir avec comment tu te connectes au routeur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Sur la loopback, on met un /32, par exemple pris dans un subnet dédié à ça. Tu as quoi comme préfixes publics dispo ? Si tu as juste le /29 fourni par le FAI, ça va être tendu. De toute façon, si tu ne sais pas comment altérer l’IP source, ça ne réglera pas ton problème. Tu as essayé la directive set src ? Sinon j’en reviens à la méthode proxy. Tout Linux peut taper dans un proxy pour toutes les commandes du shell, faut juste paramétrer les bons variables ENV. David > Le 27 mai 2024 à 14:42, Nicolas de Brou a écrit : > > Si je mets une ip (publique) sur ma loopback je ne pourrais plus accéder à > mon réseau interne non (même subnet) ? > > Et oui j’ai bien désactivé l’urographie > >> Le 27 mai 2024 à 14:24, Radu-Adrian Feurdean >> a écrit : >> >> On Sun, May 26, 2024, at 11:56, Nicolas wrote: >> >>> neighbor 192.168.250.1 prefix-list Transit-In in >>> neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out >>> neighbor 192.168.251.1 prefix-list Transit-In in >>> neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out >> >> Hello, >> >> De maniere generale utilise *TOUJOURS* des route-maps (pas de prefix-list >> directement). >> En in et en out. >> Les prefix-list ou autre chose, tu peux les utiliser a l'interieur des >> route-maps. >> >> Une fois ca regle, commence ta route-map in par: >> >> route-map rm-Transit-In permit 1 >> on-match next >> set src 192.168.253.10 >> ! >> Le reste de la route-map >> >> Pour l'IP source, j'ai mis celui de l'interface vers l'interieur. Mais dans >> un routeur avec plusieurs interfaces, faut penser a toujours avoir une >> loopback, qui elle peut tres bien servir d'IP source. La plupart des >> constructeurs permettent d'ailleurs de specifier l'interface,l'IP ou le VRF >> par default des connexions sortantes. >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
On 27/05/2024 14:42, Nicolas de Brou wrote: > Si je mets une ip (publique) sur ma loopback je ne pourrais plus accéder à > mon réseau interne non (même subnet) ? > > Et oui j’ai bien désactivé l’urographie Rien ne t'empeche d'avoir plusieurs loopback. La topologie classique d'un cœur réseau c'est d'avoir une plage d'IPs de loopbacks (publiques ou privés) qui sont uniquement distribué par l'IGP. Et c'est ces memes IPs de loopbacks qui te servent à monter ton mesh IBGP. Ensuite si tu veux que ton routeur accède à Internet il faut bien qu'il possède une IP publique routé quelconque. (enfin du moins une IP que tu peux sourcer et qui va être routé back sur ce routeur). -- Raph --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Si je mets une ip (publique) sur ma loopback je ne pourrais plus accéder à mon réseau interne non (même subnet) ? Et oui j’ai bien désactivé l’urographie > Le 27 mai 2024 à 14:24, Radu-Adrian Feurdean > a écrit : > > On Sun, May 26, 2024, at 11:56, Nicolas wrote: > >> neighbor 192.168.250.1 prefix-list Transit-In in >> neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out >> neighbor 192.168.251.1 prefix-list Transit-In in >> neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out > > Hello, > > De maniere generale utilise *TOUJOURS* des route-maps (pas de prefix-list > directement). > En in et en out. > Les prefix-list ou autre chose, tu peux les utiliser a l'interieur des > route-maps. > > Une fois ca regle, commence ta route-map in par: > > route-map rm-Transit-In permit 1 > on-match next > set src 192.168.253.10 > ! > Le reste de la route-map > > Pour l'IP source, j'ai mis celui de l'interface vers l'interieur. Mais dans > un routeur avec plusieurs interfaces, faut penser a toujours avoir une > loopback, qui elle peut tres bien servir d'IP source. La plupart des > constructeurs permettent d'ailleurs de specifier l'interface,l'IP ou le VRF > par default des connexions sortantes. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
On Sun, May 26, 2024, at 11:56, Nicolas wrote: > neighbor 192.168.250.1 prefix-list Transit-In in > neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out > neighbor 192.168.251.1 prefix-list Transit-In in > neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out Hello, De maniere generale utilise *TOUJOURS* des route-maps (pas de prefix-list directement). En in et en out. Les prefix-list ou autre chose, tu peux les utiliser a l'interieur des route-maps. Une fois ca regle, commence ta route-map in par: route-map rm-Transit-In permit 1 on-match next set src 192.168.253.10 ! Le reste de la route-map Pour l'IP source, j'ai mis celui de l'interface vers l'interieur. Mais dans un routeur avec plusieurs interfaces, faut penser a toujours avoir une loopback, qui elle peut tres bien servir d'IP source. La plupart des constructeurs permettent d'ailleurs de specifier l'interface,l'IP ou le VRF par default des connexions sortantes. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
io, > On 16 May 2024, at 18:04, Nicolas de Brou wrote: > > Hello > > Je me suis mal exprimé, désolé > > On a deux transitaire et ça fonctionne > Le routeur « route » et les majs bgp fonctionne tu as bien désactivé urpf sur ton linux sous-jacent ? ++ ic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
On 26/05/2024 21:34, Jérôme Marteaux wrote: > Cette astuce permet de réduire la surface d'attaque mais n'est pas aisé > pour troubleshooter si on ne se trouve pas à l'intérieur de l'un des > deux réseaux impliqués. Ce n'est pas très répandu, mais c'est encore > pratiqué. Ok mais dans ce cas pourquoi pas en privé ? (ok cela évite d'avoir a se mettre d'accord sur un plan d’adressage). -- Raph --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Le Sun, May 26, 2024 at 06:46:07PM +0200, Lucas REYMOND a écrit : > Salut, > > Je me plante peut être mais ton problème n'est pas lié au fait que ton > routeur tourne Frr. Mais plutôt aux applications sous jacente (mettre à > jour). > C'est un peu tot pour vendredi mais ça n'arriverai pas avec IPv6 :p --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
On Sun 26 May 2024 17:07:18 GMT, Raphael Mazelier wrote: > Des ip(s) d'interco publiques mais non routé sur internet ? c'est peu > pratique et étonnant. Bah ça évite de se faire DDoS son interco. C’est plutôt une bonne pratique quand on peut se le permettre. -- Alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Le 26/05/2024 à 19:07, Raphael Mazelier a écrit : On 26/05/2024 18:33, Nicolas wrote: Non, mais l'ip n'est pas routé en publique donc elle ne passe pas : d'où mon pb Des ip(s) d'interco publiques mais non routé sur internet ? c'est peu pratique et étonnant. Cette astuce permet de réduire la surface d'attaque mais n'est pas aisé pour troubleshooter si on ne se trouve pas à l'intérieur de l'un des deux réseaux impliqués. Ce n'est pas très répandu, mais c'est encore pratiqué. Sinon à partir du moment ou tu as une IPs (une loopback ?) publique correctement routé vers ton routeur tu peux l’utiliser pour communiquer depuis ton routeur. Comme tu es sous linux n'importe quel bricolage à coup de iptables fonctionnera. Après est ce que tu peux le "configurer" depuis FRR ? Une loopback est en effet une bonne solution ! Jérôme -- Jérôme Marteaux --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Ouais, faut quand même qu’il fasse gaffe à pas natter le traffic vers le peer BGP. David > Le 26 mai 2024 à 19:07, Raphael Mazelier a écrit : > > On 26/05/2024 18:33, Nicolas wrote: > >> Non, mais l'ip n'est pas routé en publique donc elle ne passe pas : d'où >> mon pb > > Des ip(s) d'interco publiques mais non routé sur internet ? c'est peu > pratique et étonnant. > Sinon à partir du moment ou tu as une IPs (une loopback ?) publique > correctement routé vers ton routeur tu peux l’utiliser pour communiquer > depuis ton routeur. > > Comme tu es sous linux n'importe quel bricolage à coup de iptables > fonctionnera. Après est ce que tu peux le "configurer" depuis FRR ? > > -- > Raph > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
On 26/05/2024 18:33, Nicolas wrote: > Non, mais l'ip n'est pas routé en publique donc elle ne passe pas : d'où > mon pb Des ip(s) d'interco publiques mais non routé sur internet ? c'est peu pratique et étonnant. Sinon à partir du moment ou tu as une IPs (une loopback ?) publique correctement routé vers ton routeur tu peux l’utiliser pour communiquer depuis ton routeur. Comme tu es sous linux n'importe quel bricolage à coup de iptables fonctionnera. Après est ce que tu peux le "configurer" depuis FRR ? -- Raph --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Influencing Linux Source Address Selection on routes installed by bird and FRRblog.sdn.clinicC’est très contre intuitif.Il semble qu’il faille modifier le paramètre src sur les routes apprises.Sinon méthode: tu utilises un proxy interne.David PonzoneLe 26 mai 2024 à 18:33, Nicolas a écrit :Non, mais l'ip n'est pas routé en publique donc elle ne passe pas : d'où mon pbLe 26/05/2024 à 17:25, David Ponzone a écrit :Et ton lien avec ton opérateur de transit est en IP privée ?DavidLe 26 mai 2024 à 16:44, Nicolas a écrit :Dans mon cas réel, BGP01 est le routeur de mon opérateur de transit : donc je n'ai pas accès.Le 26/05/2024 à 12:20, David Ponzone a écrit :Tu peux pas faire en sorte que bgp01 natte 250.2 ?Sinon la méthode propre est d’avoir une interface de chaque routeur dans un vrf de management qui peut sortir.David PonzoneLe 26 mai 2024 à 11:56, Nicolas a écrit :Bonjour,J'ai remonté une infra de test pour reproduire mon soucis.L'architecturePC de Test <--> Routeur BGP02 <-> Routeur BGP01 <--> Box192.168.253.10 192.168.253.1 / 192.168.250.2 192.168/250.1 / 192.168.2.111 192.168.2.1J'ai rajouté une route static pour la maquette dans la box pour le chemin de retour vers le réseau 192.168.253.0/24 par 192.168.2.111Conf Routeur BGP01 :!ip route 0.0.0.0/0 192.168.2.1!router bgp 65000 bgp router-id 192.168.250.1 neighbor 192.168.250.2 remote-as 65001 neighbor 192.168.250.2 description BGP02 ! address-family ipv4 unicast network 0.0.0.0/0 network 192.168.2.0/24 neighbor 192.168.250.2 prefix-list Transit-In in neighbor 192.168.250.2 prefix-list Peering-Out-BGP02 out exit-address-familyexit!ip prefix-list Transit-In seq 35 permit anyip prefix-list Peering-Out-BGP02 seq 5 permit any!Conf Routeur BGP02 :router bgp 65001 bgp router-id 192.168.250.2 neighbor 192.168.250.1 remote-as 65000 neighbor 192.168.250.1 description BGP01 neighbor 192.168.251.1 remote-as 65002 neighbor 192.168.251.1 description BGP03 ! address-family ipv4 unicast network 192.168.253.0/24 neighbor 192.168.250.1 weight 100 neighbor 192.168.250.1 prefix-list Transit-In in neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out neighbor 192.168.251.1 weight 100 neighbor 192.168.251.1 prefix-list Transit-In in neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out exit-address-familyexit!ip prefix-list Peering-Out-BGP01 seq 5 permit 192.168.253.0/24ip prefix-list Transit-In seq 35 permit any!Donc :* Depuis le réseau 192.168.253.0/24 => accès internet ok* depuis le routeur bgp01 => accès internet ok* depuis le routeur bgp02 => Internet KOQuand je sniffe au niveau box, je vois le ping avec une ip source 192.168.250.2 soit l'ip d'interco entre les deux routeurs bgpLa question : sous frr / quagga, comment forcer l'ip de source afin que je puisse installer des paquets et/ou mettre à jour le routeur svp ?Merci d'avanceLe 17/05/2024 à 11:30, Willy Manga a écrit :.On 17/05/2024 13:19, Nicolas de Brou wrote:BonjourJ’ai identifié mon interfaceQue je force ou pas l’ip source, je passe toujours par ceUn traceroute montre que je passe à travers 4 routeurs supplémentaires de cet opérateur avant de perdre la suite.Sans aucune donnée réelle, je dirais dans tous les cas:- le fait de passer par le même opérateur dépend à la fois de votre configuration de routage locale et la destination- après le 4è saut, un routeur ne sait ni comment joindre la destination ou bien ne sait pas comment vous joindre en retour ou bien les deux---Liste de diffusion du FRnOGhttp://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Salut, Je me plante peut être mais ton problème n'est pas lié au fait que ton routeur tourne Frr. Mais plutôt aux applications sous jacente (mettre à jour). Une méthode pas très propre serait de faire un SNAT sur ton pare feu pour les packet généré localement afin d'éviter qu'il source avec une ip non routable (voir le module addrtype de iptables ?) ++ Le dim. 26 mai 2024, 18:33, Nicolas a écrit : > Non, mais l'ip n'est pas routé en publique donc elle ne passe pas : d'où > mon pb > > Le 26/05/2024 à 17:25, David Ponzone a écrit : > > Et ton lien avec ton opérateur de transit est en IP privée ? > > > > David > > > >> Le 26 mai 2024 à 16:44, Nicolas a écrit : > >> > >> Dans mon cas réel, BGP01 est le routeur de mon opérateur de transit : > donc je n'ai pas accès. > >> > >> > >> > >> Le 26/05/2024 à 12:20, David Ponzone a écrit : > >>> Tu peux pas faire en sorte que bgp01 natte 250.2 ? > >>> > >>> Sinon la méthode propre est d’avoir une interface de chaque routeur > dans un vrf de management qui peut sortir. > >>> > >>> David Ponzone > >>> > >>> > >>> > Le 26 mai 2024 à 11:56, Nicolas a écrit : > > Bonjour, > > J'ai remonté une infra de test pour reproduire mon soucis. > > L'architecture > > PC de Test <--> Routeur BGP02 > <-> Routeur BGP01 > <--> Box > 192.168.253.10 192.168.253.1 / 192.168.250.2 > 192.168/250.1 / 192.168.2.111 >192.168.2.1 > > J'ai rajouté une route static pour la maquette dans la box pour le > chemin de retour vers le réseau 192.168.253.0/24 par 192.168.2.111 > > Conf Routeur BGP01 : > ! > ip route 0.0.0.0/0 192.168.2.1 > ! > router bgp 65000 > bgp router-id 192.168.250.1 > neighbor 192.168.250.2 remote-as 65001 > neighbor 192.168.250.2 description BGP02 > ! > address-family ipv4 unicast > network 0.0.0.0/0 > network 192.168.2.0/24 > neighbor 192.168.250.2 prefix-list Transit-In in > neighbor 192.168.250.2 prefix-list Peering-Out-BGP02 out > exit-address-family > exit > ! > ip prefix-list Transit-In seq 35 permit any > ip prefix-list Peering-Out-BGP02 seq 5 permit any > ! > > > Conf Routeur BGP02 : > router bgp 65001 > bgp router-id 192.168.250.2 > neighbor 192.168.250.1 remote-as 65000 > neighbor 192.168.250.1 description BGP01 > neighbor 192.168.251.1 remote-as 65002 > neighbor 192.168.251.1 description BGP03 > ! > address-family ipv4 unicast > network 192.168.253.0/24 > neighbor 192.168.250.1 weight 100 > neighbor 192.168.250.1 prefix-list Transit-In in > neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out > neighbor 192.168.251.1 weight 100 > neighbor 192.168.251.1 prefix-list Transit-In in > neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out > exit-address-family > exit > ! > ip prefix-list Peering-Out-BGP01 seq 5 permit 192.168.253.0/24 > ip prefix-list Transit-In seq 35 permit any > ! > > Donc : > * Depuis le réseau 192.168.253.0/24 => accès internet ok > * depuis le routeur bgp01 => accès internet ok > * depuis le routeur bgp02 => Internet KO > > Quand je sniffe au niveau box, je vois le ping avec une ip source > 192.168.250.2 soit l'ip d'interco entre les deux routeurs bgp > > La question : sous frr / quagga, comment forcer l'ip de source afin > que je puisse installer des paquets et/ou mettre à jour le routeur svp ? > > Merci d'avance > > > > > > > Le 17/05/2024 à 11:30, Willy Manga a écrit : > > . > >> On 17/05/2024 13:19, Nicolas de Brou wrote: > >> Bonjour > >> > >> J’ai identifié mon interface > >> Que je force ou pas l’ip source, je passe toujours par ce > >> Un traceroute montre que je passe à travers 4 routeurs > supplémentaires de cet opérateur avant de perdre la suite. > > Sans aucune donnée réelle, je dirais dans tous les cas: > > > > - le fait de passer par le même opérateur dépend à la fois de votre > configuration de routage locale et la destination > > > > - après le 4è saut, un routeur ne sait ni comment joindre la > destination ou bien ne sait pas comment vous joindre en retour ou bien les > deux > > > > > > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Non, mais l'ip n'est pas routé en publique donc elle ne passe pas : d'où mon pb Le 26/05/2024 à 17:25, David Ponzone a écrit : Et ton lien avec ton opérateur de transit est en IP privée ? David Le 26 mai 2024 à 16:44, Nicolas a écrit : Dans mon cas réel, BGP01 est le routeur de mon opérateur de transit : donc je n'ai pas accès. Le 26/05/2024 à 12:20, David Ponzone a écrit : Tu peux pas faire en sorte que bgp01 natte 250.2 ? Sinon la méthode propre est d’avoir une interface de chaque routeur dans un vrf de management qui peut sortir. David Ponzone Le 26 mai 2024 à 11:56, Nicolas a écrit : Bonjour, J'ai remonté une infra de test pour reproduire mon soucis. L'architecture PC de Test <--> Routeur BGP02 <-> Routeur BGP01 <--> Box 192.168.253.10 192.168.253.1 / 192.168.250.2 192.168/250.1 / 192.168.2.111 192.168.2.1 J'ai rajouté une route static pour la maquette dans la box pour le chemin de retour vers le réseau 192.168.253.0/24 par 192.168.2.111 Conf Routeur BGP01 : ! ip route 0.0.0.0/0 192.168.2.1 ! router bgp 65000 bgp router-id 192.168.250.1 neighbor 192.168.250.2 remote-as 65001 neighbor 192.168.250.2 description BGP02 ! address-family ipv4 unicast network 0.0.0.0/0 network 192.168.2.0/24 neighbor 192.168.250.2 prefix-list Transit-In in neighbor 192.168.250.2 prefix-list Peering-Out-BGP02 out exit-address-family exit ! ip prefix-list Transit-In seq 35 permit any ip prefix-list Peering-Out-BGP02 seq 5 permit any ! Conf Routeur BGP02 : router bgp 65001 bgp router-id 192.168.250.2 neighbor 192.168.250.1 remote-as 65000 neighbor 192.168.250.1 description BGP01 neighbor 192.168.251.1 remote-as 65002 neighbor 192.168.251.1 description BGP03 ! address-family ipv4 unicast network 192.168.253.0/24 neighbor 192.168.250.1 weight 100 neighbor 192.168.250.1 prefix-list Transit-In in neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out neighbor 192.168.251.1 weight 100 neighbor 192.168.251.1 prefix-list Transit-In in neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out exit-address-family exit ! ip prefix-list Peering-Out-BGP01 seq 5 permit 192.168.253.0/24 ip prefix-list Transit-In seq 35 permit any ! Donc : * Depuis le réseau 192.168.253.0/24 => accès internet ok * depuis le routeur bgp01 => accès internet ok * depuis le routeur bgp02 => Internet KO Quand je sniffe au niveau box, je vois le ping avec une ip source 192.168.250.2 soit l'ip d'interco entre les deux routeurs bgp La question : sous frr / quagga, comment forcer l'ip de source afin que je puisse installer des paquets et/ou mettre à jour le routeur svp ? Merci d'avance Le 17/05/2024 à 11:30, Willy Manga a écrit : . On 17/05/2024 13:19, Nicolas de Brou wrote: Bonjour J’ai identifié mon interface Que je force ou pas l’ip source, je passe toujours par ce Un traceroute montre que je passe à travers 4 routeurs supplémentaires de cet opérateur avant de perdre la suite. Sans aucune donnée réelle, je dirais dans tous les cas: - le fait de passer par le même opérateur dépend à la fois de votre configuration de routage locale et la destination - après le 4è saut, un routeur ne sait ni comment joindre la destination ou bien ne sait pas comment vous joindre en retour ou bien les deux --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Et ton lien avec ton opérateur de transit est en IP privée ? David > Le 26 mai 2024 à 16:44, Nicolas a écrit : > > Dans mon cas réel, BGP01 est le routeur de mon opérateur de transit : donc je > n'ai pas accès. > > > > Le 26/05/2024 à 12:20, David Ponzone a écrit : >> Tu peux pas faire en sorte que bgp01 natte 250.2 ? >> >> Sinon la méthode propre est d’avoir une interface de chaque routeur dans un >> vrf de management qui peut sortir. >> >> David Ponzone >> >> >> >>> Le 26 mai 2024 à 11:56, Nicolas a écrit : >>> >>> Bonjour, >>> >>> J'ai remonté une infra de test pour reproduire mon soucis. >>> >>> L'architecture >>> >>> PC de Test <--> Routeur BGP02 >>> <-> Routeur BGP01 >>> <--> Box >>> 192.168.253.10 192.168.253.1 / 192.168.250.2 >>>192.168/250.1 / 192.168.2.111 >>> 192.168.2.1 >>> >>> J'ai rajouté une route static pour la maquette dans la box pour le chemin >>> de retour vers le réseau 192.168.253.0/24 par 192.168.2.111 >>> >>> Conf Routeur BGP01 : >>> ! >>> ip route 0.0.0.0/0 192.168.2.1 >>> ! >>> router bgp 65000 >>> bgp router-id 192.168.250.1 >>> neighbor 192.168.250.2 remote-as 65001 >>> neighbor 192.168.250.2 description BGP02 >>> ! >>> address-family ipv4 unicast >>> network 0.0.0.0/0 >>> network 192.168.2.0/24 >>> neighbor 192.168.250.2 prefix-list Transit-In in >>> neighbor 192.168.250.2 prefix-list Peering-Out-BGP02 out >>> exit-address-family >>> exit >>> ! >>> ip prefix-list Transit-In seq 35 permit any >>> ip prefix-list Peering-Out-BGP02 seq 5 permit any >>> ! >>> >>> >>> Conf Routeur BGP02 : >>> router bgp 65001 >>> bgp router-id 192.168.250.2 >>> neighbor 192.168.250.1 remote-as 65000 >>> neighbor 192.168.250.1 description BGP01 >>> neighbor 192.168.251.1 remote-as 65002 >>> neighbor 192.168.251.1 description BGP03 >>> ! >>> address-family ipv4 unicast >>> network 192.168.253.0/24 >>> neighbor 192.168.250.1 weight 100 >>> neighbor 192.168.250.1 prefix-list Transit-In in >>> neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out >>> neighbor 192.168.251.1 weight 100 >>> neighbor 192.168.251.1 prefix-list Transit-In in >>> neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out >>> exit-address-family >>> exit >>> ! >>> ip prefix-list Peering-Out-BGP01 seq 5 permit 192.168.253.0/24 >>> ip prefix-list Transit-In seq 35 permit any >>> ! >>> >>> Donc : >>> * Depuis le réseau 192.168.253.0/24 => accès internet ok >>> * depuis le routeur bgp01 => accès internet ok >>> * depuis le routeur bgp02 => Internet KO >>> >>> Quand je sniffe au niveau box, je vois le ping avec une ip source >>> 192.168.250.2 soit l'ip d'interco entre les deux routeurs bgp >>> >>> La question : sous frr / quagga, comment forcer l'ip de source afin que je >>> puisse installer des paquets et/ou mettre à jour le routeur svp ? >>> >>> Merci d'avance >>> >>> >>> >>> >>> Le 17/05/2024 à 11:30, Willy Manga a écrit : . > On 17/05/2024 13:19, Nicolas de Brou wrote: > Bonjour > > J’ai identifié mon interface > Que je force ou pas l’ip source, je passe toujours par ce > Un traceroute montre que je passe à travers 4 routeurs supplémentaires de > cet opérateur avant de perdre la suite. Sans aucune donnée réelle, je dirais dans tous les cas: - le fait de passer par le même opérateur dépend à la fois de votre configuration de routage locale et la destination - après le 4è saut, un routeur ne sait ni comment joindre la destination ou bien ne sait pas comment vous joindre en retour ou bien les deux >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Dans mon cas réel, BGP01 est le routeur de mon opérateur de transit : donc je n'ai pas accès. Le 26/05/2024 à 12:20, David Ponzone a écrit : Tu peux pas faire en sorte que bgp01 natte 250.2 ? Sinon la méthode propre est d’avoir une interface de chaque routeur dans un vrf de management qui peut sortir. David Ponzone Le 26 mai 2024 à 11:56, Nicolas a écrit : Bonjour, J'ai remonté une infra de test pour reproduire mon soucis. L'architecture PC de Test <--> Routeur BGP02 <-> Routeur BGP01 <--> Box 192.168.253.10 192.168.253.1 / 192.168.250.2 192.168/250.1 / 192.168.2.111 192.168.2.1 J'ai rajouté une route static pour la maquette dans la box pour le chemin de retour vers le réseau 192.168.253.0/24 par 192.168.2.111 Conf Routeur BGP01 : ! ip route 0.0.0.0/0 192.168.2.1 ! router bgp 65000 bgp router-id 192.168.250.1 neighbor 192.168.250.2 remote-as 65001 neighbor 192.168.250.2 description BGP02 ! address-family ipv4 unicast network 0.0.0.0/0 network 192.168.2.0/24 neighbor 192.168.250.2 prefix-list Transit-In in neighbor 192.168.250.2 prefix-list Peering-Out-BGP02 out exit-address-family exit ! ip prefix-list Transit-In seq 35 permit any ip prefix-list Peering-Out-BGP02 seq 5 permit any ! Conf Routeur BGP02 : router bgp 65001 bgp router-id 192.168.250.2 neighbor 192.168.250.1 remote-as 65000 neighbor 192.168.250.1 description BGP01 neighbor 192.168.251.1 remote-as 65002 neighbor 192.168.251.1 description BGP03 ! address-family ipv4 unicast network 192.168.253.0/24 neighbor 192.168.250.1 weight 100 neighbor 192.168.250.1 prefix-list Transit-In in neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out neighbor 192.168.251.1 weight 100 neighbor 192.168.251.1 prefix-list Transit-In in neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out exit-address-family exit ! ip prefix-list Peering-Out-BGP01 seq 5 permit 192.168.253.0/24 ip prefix-list Transit-In seq 35 permit any ! Donc : * Depuis le réseau 192.168.253.0/24 => accès internet ok * depuis le routeur bgp01 => accès internet ok * depuis le routeur bgp02 => Internet KO Quand je sniffe au niveau box, je vois le ping avec une ip source 192.168.250.2 soit l'ip d'interco entre les deux routeurs bgp La question : sous frr / quagga, comment forcer l'ip de source afin que je puisse installer des paquets et/ou mettre à jour le routeur svp ? Merci d'avance Le 17/05/2024 à 11:30, Willy Manga a écrit : . On 17/05/2024 13:19, Nicolas de Brou wrote: Bonjour J’ai identifié mon interface Que je force ou pas l’ip source, je passe toujours par ce Un traceroute montre que je passe à travers 4 routeurs supplémentaires de cet opérateur avant de perdre la suite. Sans aucune donnée réelle, je dirais dans tous les cas: - le fait de passer par le même opérateur dépend à la fois de votre configuration de routage locale et la destination - après le 4è saut, un routeur ne sait ni comment joindre la destination ou bien ne sait pas comment vous joindre en retour ou bien les deux --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Tu peux pas faire en sorte que bgp01 natte 250.2 ? Sinon la méthode propre est d’avoir une interface de chaque routeur dans un vrf de management qui peut sortir. David Ponzone > Le 26 mai 2024 à 11:56, Nicolas a écrit : > > Bonjour, > > J'ai remonté une infra de test pour reproduire mon soucis. > > L'architecture > > PC de Test <--> Routeur BGP02 > <-> Routeur BGP01 > <--> Box > 192.168.253.10 192.168.253.1 / 192.168.250.2 > 192.168/250.1 / 192.168.2.111 > 192.168.2.1 > > J'ai rajouté une route static pour la maquette dans la box pour le chemin de > retour vers le réseau 192.168.253.0/24 par 192.168.2.111 > > Conf Routeur BGP01 : > ! > ip route 0.0.0.0/0 192.168.2.1 > ! > router bgp 65000 > bgp router-id 192.168.250.1 > neighbor 192.168.250.2 remote-as 65001 > neighbor 192.168.250.2 description BGP02 > ! > address-family ipv4 unicast > network 0.0.0.0/0 > network 192.168.2.0/24 > neighbor 192.168.250.2 prefix-list Transit-In in > neighbor 192.168.250.2 prefix-list Peering-Out-BGP02 out > exit-address-family > exit > ! > ip prefix-list Transit-In seq 35 permit any > ip prefix-list Peering-Out-BGP02 seq 5 permit any > ! > > > Conf Routeur BGP02 : > router bgp 65001 > bgp router-id 192.168.250.2 > neighbor 192.168.250.1 remote-as 65000 > neighbor 192.168.250.1 description BGP01 > neighbor 192.168.251.1 remote-as 65002 > neighbor 192.168.251.1 description BGP03 > ! > address-family ipv4 unicast > network 192.168.253.0/24 > neighbor 192.168.250.1 weight 100 > neighbor 192.168.250.1 prefix-list Transit-In in > neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out > neighbor 192.168.251.1 weight 100 > neighbor 192.168.251.1 prefix-list Transit-In in > neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out > exit-address-family > exit > ! > ip prefix-list Peering-Out-BGP01 seq 5 permit 192.168.253.0/24 > ip prefix-list Transit-In seq 35 permit any > ! > > Donc : > * Depuis le réseau 192.168.253.0/24 => accès internet ok > * depuis le routeur bgp01 => accès internet ok > * depuis le routeur bgp02 => Internet KO > > Quand je sniffe au niveau box, je vois le ping avec une ip source > 192.168.250.2 soit l'ip d'interco entre les deux routeurs bgp > > La question : sous frr / quagga, comment forcer l'ip de source afin que je > puisse installer des paquets et/ou mettre à jour le routeur svp ? > > Merci d'avance > > > > > >> Le 17/05/2024 à 11:30, Willy Manga a écrit : >> . >>> On 17/05/2024 13:19, Nicolas de Brou wrote: >>> Bonjour >>> >>> J’ai identifié mon interface >>> Que je force ou pas l’ip source, je passe toujours par ce >>> Un traceroute montre que je passe à travers 4 routeurs supplémentaires de >>> cet opérateur avant de perdre la suite. >> >> Sans aucune donnée réelle, je dirais dans tous les cas: >> >> - le fait de passer par le même opérateur dépend à la fois de votre >> configuration de routage locale et la destination >> >> - après le 4è saut, un routeur ne sait ni comment joindre la destination ou >> bien ne sait pas comment vous joindre en retour ou bien les deux >> >> >> >> > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Bonjour, J'ai remonté une infra de test pour reproduire mon soucis. L'architecture PC de Test <--> Routeur BGP02 <-> Routeur BGP01 <--> Box 192.168.253.10 192.168.253.1 / 192.168.250.2 192.168/250.1 / 192.168.2.111 192.168.2.1 J'ai rajouté une route static pour la maquette dans la box pour le chemin de retour vers le réseau 192.168.253.0/24 par 192.168.2.111 Conf Routeur BGP01 : ! ip route 0.0.0.0/0 192.168.2.1 ! router bgp 65000 bgp router-id 192.168.250.1 neighbor 192.168.250.2 remote-as 65001 neighbor 192.168.250.2 description BGP02 ! address-family ipv4 unicast network 0.0.0.0/0 network 192.168.2.0/24 neighbor 192.168.250.2 prefix-list Transit-In in neighbor 192.168.250.2 prefix-list Peering-Out-BGP02 out exit-address-family exit ! ip prefix-list Transit-In seq 35 permit any ip prefix-list Peering-Out-BGP02 seq 5 permit any ! Conf Routeur BGP02 : router bgp 65001 bgp router-id 192.168.250.2 neighbor 192.168.250.1 remote-as 65000 neighbor 192.168.250.1 description BGP01 neighbor 192.168.251.1 remote-as 65002 neighbor 192.168.251.1 description BGP03 ! address-family ipv4 unicast network 192.168.253.0/24 neighbor 192.168.250.1 weight 100 neighbor 192.168.250.1 prefix-list Transit-In in neighbor 192.168.250.1 prefix-list Peering-Out-BGP01 out neighbor 192.168.251.1 weight 100 neighbor 192.168.251.1 prefix-list Transit-In in neighbor 192.168.251.1 prefix-list Peering-Out-BGP01 out exit-address-family exit ! ip prefix-list Peering-Out-BGP01 seq 5 permit 192.168.253.0/24 ip prefix-list Transit-In seq 35 permit any ! Donc : * Depuis le réseau 192.168.253.0/24 => accès internet ok * depuis le routeur bgp01 => accès internet ok * depuis le routeur bgp02 => Internet KO Quand je sniffe au niveau box, je vois le ping avec une ip source 192.168.250.2 soit l'ip d'interco entre les deux routeurs bgp La question : sous frr / quagga, comment forcer l'ip de source afin que je puisse installer des paquets et/ou mettre à jour le routeur svp ? Merci d'avance Le 17/05/2024 à 11:30, Willy Manga a écrit : . On 17/05/2024 13:19, Nicolas de Brou wrote: Bonjour J’ai identifié mon interface Que je force ou pas l’ip source, je passe toujours par ce Un traceroute montre que je passe à travers 4 routeurs supplémentaires de cet opérateur avant de perdre la suite. Sans aucune donnée réelle, je dirais dans tous les cas: - le fait de passer par le même opérateur dépend à la fois de votre configuration de routage locale et la destination - après le 4è saut, un routeur ne sait ni comment joindre la destination ou bien ne sait pas comment vous joindre en retour ou bien les deux --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
. On 17/05/2024 13:19, Nicolas de Brou wrote: Bonjour J’ai identifié mon interface Que je force ou pas l’ip source, je passe toujours par ce Un traceroute montre que je passe à travers 4 routeurs supplémentaires de cet opérateur avant de perdre la suite. Sans aucune donnée réelle, je dirais dans tous les cas: - le fait de passer par le même opérateur dépend à la fois de votre configuration de routage locale et la destination - après le 4è saut, un routeur ne sait ni comment joindre la destination ou bien ne sait pas comment vous joindre en retour ou bien les deux -- Willy Manga --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Bonjour J’ai identifié mon interface Que je force ou pas l’ip source, je passe toujours par ce Un traceroute montre que je passe à travers 4 routeurs supplémentaires de cet opérateur avant de perdre la suite. > Le 17 mai 2024 à 07:36, Willy Manga a écrit : > > Bonjour, > >> On 16/05/2024 20:04, Nicolas de Brou wrote: >> Hello >> Je me suis mal exprimé, désolé >> On a deux transitaire et ça fonctionne >> Le routeur « route » et les majs bgp fonctionne > > >> C’est le Linux qui lui n’accède pas à internet >> Alors que je peux me connecter dessus à distance… > > Il faudrait plus de détails notamment le résultat de mtr (ou à défaut > traceroute) depuis une adresse (ou interface) spécifique du routeur. > > En partant du shell du système d'exploitation, pour une destination donnée, > effectuer: > > * un mtr sans spécifier une interface d'origine . > ex: mtr -nrc 3 mon.adresse.de.destination > > * un mtr en spécifiant une adresse d'origine (loopback, adresse d'un bloc > interne, adresse de point à point avec fournisseur A, adresse de point à > point avec fournisseur B,..) > ex. mtr -nrc 3 -a mon.adresse.source mon.adresse.de.destination > > > Vu que vous avez deux transitaires, il faudrait un échantillon en terme de > destination qui puisse passer par les deux opérateurs. Avant d'effectuer le > test mtr, vous pouvez rapidement déterminer le réseau qui sera utilisé en > faisant depuis le shell du système d'exploitation un > > ip route get mon.adresse.de.destination > > J'ai volontairement omis ce que pourrait vous indiquer la table de routage de > FRR (pour l'instant) > > > -- > Willy Manga > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Bonjour, On 16/05/2024 20:04, Nicolas de Brou wrote: Hello Je me suis mal exprimé, désolé On a deux transitaire et ça fonctionne Le routeur « route » et les majs bgp fonctionne C’est le Linux qui lui n’accède pas à internet Alors que je peux me connecter dessus à distance… Il faudrait plus de détails notamment le résultat de mtr (ou à défaut traceroute) depuis une adresse (ou interface) spécifique du routeur. En partant du shell du système d'exploitation, pour une destination donnée, effectuer: * un mtr sans spécifier une interface d'origine . ex: mtr -nrc 3 mon.adresse.de.destination * un mtr en spécifiant une adresse d'origine (loopback, adresse d'un bloc interne, adresse de point à point avec fournisseur A, adresse de point à point avec fournisseur B,..) ex. mtr -nrc 3 -a mon.adresse.source mon.adresse.de.destination Vu que vous avez deux transitaires, il faudrait un échantillon en terme de destination qui puisse passer par les deux opérateurs. Avant d'effectuer le test mtr, vous pouvez rapidement déterminer le réseau qui sera utilisé en faisant depuis le shell du système d'exploitation un ip route get mon.adresse.de.destination J'ai volontairement omis ce que pourrait vous indiquer la table de routage de FRR (pour l'instant) -- Willy Manga --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Hello, Certains opérateurs te fournissent des blocs d'interco IP non routables. Ainsi tu peux te connecter sur ton routeur avec les IPs de ton asn, mais si le linux essaye de sortir sur internet via cette interco, possible qu'il utilise la mauvaise IP source. Dans ce cas, tente un ping et force l'IP source pour voir si ca résoud ton problème. Et effectivement, ca peut aussi venir des DNS qui ne sont pas joignables aussi avec des ips d'interco publiques mais non annoncées sur Internet. Cela évite pour l'opérateur et ton infra qu'il y ait des DDOS sur ces plages IPs. Le 16/05/2024 à 18:55, Laurent Barme a écrit : Le 16/05/2024 à 18:04, Nicolas de Brou a écrit : Hello Je me suis mal exprimé, désolé On a deux transitaire et ça fonctionne Le routeur « route » et les majs bgp fonctionne C’est le Linux qui lui n’accède pas à internet Alors que je peux me connecter dessus à distance… Cela m'évoque un problème de DNS mal (ou pas défini) au niveau du contexte linux… Merci Le 16 mai 2024 à 17:41, Raphael Mazelier a écrit : Hello la liste, Quand tu dis fait bien son travail que veut tu dire ? Il route ? parce que bon si ton FRR/guagge est vautré mais qu'il te reste des routes et une default il va router. Mais tu n'auras pas trop d'update :) -- Raph On 16/05/2024 16:53, Nicolas de Brou wrote: Bonjour, Je cherche quelqu’un qui connaît bien FRR / Quagga qui pourrait accepter de perdre une heure Max pour comprendre pourquoi mon routeur fait bien son travaille mais que depuis la cli je ne puisse pas accéder aux ressource (exemple mise à jour) Merci d’avance --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Le 16/05/2024 à 18:04, Nicolas de Brou a écrit : Hello Je me suis mal exprimé, désolé On a deux transitaire et ça fonctionne Le routeur « route » et les majs bgp fonctionne C’est le Linux qui lui n’accède pas à internet Alors que je peux me connecter dessus à distance… Cela m'évoque un problème de DNS mal (ou pas défini) au niveau du contexte linux… Merci Le 16 mai 2024 à 17:41, Raphael Mazelier a écrit : Hello la liste, Quand tu dis fait bien son travail que veut tu dire ? Il route ? parce que bon si ton FRR/guagge est vautré mais qu'il te reste des routes et une default il va router. Mais tu n'auras pas trop d'update :) -- Raph On 16/05/2024 16:53, Nicolas de Brou wrote: Bonjour, Je cherche quelqu’un qui connaît bien FRR / Quagga qui pourrait accepter de perdre une heure Max pour comprendre pourquoi mon routeur fait bien son travaille mais que depuis la cli je ne puisse pas accéder aux ressource (exemple mise à jour) Merci d’avance --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Hello Je me suis mal exprimé, désolé On a deux transitaire et ça fonctionne Le routeur « route » et les majs bgp fonctionne C’est le Linux qui lui n’accède pas à internet Alors que je peux me connecter dessus à distance… Merci > Le 16 mai 2024 à 17:41, Raphael Mazelier a écrit : > > Hello la liste, > > Quand tu dis fait bien son travail que veut tu dire ? > Il route ? parce que bon si ton FRR/guagge est vautré mais qu'il te reste des > routes et une default il va router. Mais tu n'auras pas trop d'update :) > > -- > Raph > >> On 16/05/2024 16:53, Nicolas de Brou wrote: >> >> Bonjour, >> >> Je cherche quelqu’un qui connaît bien FRR / Quagga qui pourrait accepter de >> perdre une heure Max pour comprendre pourquoi mon routeur fait bien son >> travaille mais que depuis la cli je ne puisse pas accéder aux ressource >> (exemple mise à jour) >> >> Merci d’avance >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Hello la liste, Quand tu dis fait bien son travail que veut tu dire ? Il route ? parce que bon si ton FRR/guagge est vautré mais qu'il te reste des routes et une default il va router. Mais tu n'auras pas trop d'update :) -- Raph On 16/05/2024 16:53, Nicolas de Brou wrote: > Bonjour, > > Je cherche quelqu’un qui connaît bien FRR / Quagga qui pourrait accepter de > perdre une heure Max pour comprendre pourquoi mon routeur fait bien son > travaille mais que depuis la cli je ne puisse pas accéder aux ressource > (exemple mise à jour) > > Merci d’avance > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Bgp sous FRR
Bonjour, Je cherche quelqu’un qui connaît bien FRR / Quagga qui pourrait accepter de perdre une heure Max pour comprendre pourquoi mon routeur fait bien son travaille mais que depuis la cli je ne puisse pas accéder aux ressource (exemple mise à jour) Merci d’avance --- Liste de diffusion du FRnOG http://www.frnog.org/