Re: [Pfsense-pt] Failover MPLS X VPN

[Danilo Neves]

Devido a simplicidade da configuração do OpenBGPD, vou configurar uma rede
iBGP ao invés do OSPF.
Mas estou tendo um problema que as rotas são anunciadas, mas eu não consigo
pingar entre as unidades.
Na MATRIZ eu anunciei as redes
192.168.1.0/24
192.168.9.0/24
192.168.10.0/24


Configuração MATRIZ

AS 65513
holdtime 90
fib-update no
listen on 10.10.1.2
router-id 10.10.1.2
network 192.168.1.0/24
network 192.168.10.0/24
network 192.168.9.0/24
group "BGPCD" {
remote-as 65513
neighbor 10.10.2.2 {
descr "CD"
local-address 10.10.1.2
announce IPv4 unicast


set nexthop self
set med 10
set localpref 80

}
}
allow from any
allow to any


-----------------------------------------------------------------------------------------------------------
E na FILIAL eu anunciei a rede
192.168.2.0/24

configuração FILIAL

AS 65513
holdtime 90
fib-update no
listen on 10.10.2.2
router-id 10.10.2.2
network 192.168.2.0/24

group "BGPBARROPRETO" {
remote-as 65513
neighbor 10.10.1.2 {
descr "BARROPRETO"
local-address 10.10.2.2
announce IPv4 unicast

set nexthop self
set med 10
set localpref 80


}
}
allow from any
allow to any


-------------------------------------------------------------------------------------------------------------

Acontece é que eu não consigo pingar entre a Matriz e Filial
As minha rotas são anunciadas em ambas as pontas.


MATRIZ

#bgpctl show rib
flags: * = Valid, > = Selected, I = via IBGP, A = Announced, S = Stale
origin: i = IGP, e = EGP, ? = Incomplete

flags destination          gateway          lpref   med aspath origin
AI*>  192.168.1.0/24       0.0.0.0            100     0 i
I*>   192.168.2.0/24       10.10.2.2           80    10 i
AI*>  192.168.9.0/24       0.0.0.0            100     0 i
AI*>  192.168.10.0/24      0.0.0.0            100     0 i




#bgpctl show fib bgp
flags: * = valid, B = BGP, C = Connected, S = Static
       N = BGP Nexthop reachable via this route
       r = reject route, b = blackhole route

flags prio destination          gateway
*B      48 192.168.2.0/24       10.10.1.1



#route get 192.168.2.1
route to: 192.168.2.1
destination: default
mask: default
gateway: 200.202.202.202  (INTERNET)
interface: em0
flags: <UP,GATEWAY,DONE,STATIC>
recvpipe  sendpipe  ssthresh  rtt,msec    mtu        weight    expire
       0         0         0         0      1500         1         0



----------------------------------------
FILIAL

#bgpctl show rib
flags: * = Valid, > = Selected, I = via IBGP, A = Announced, S = Stale
origin: i = IGP, e = EGP, ? = Incomplete

flags destination          gateway          lpref   med aspath origin
I*>   192.168.1.0/24       10.10.1.2           80    10 i
AI*>  192.168.2.0/24       0.0.0.0            100     0 i
I*>   192.168.9.0/24       10.10.1.2           80    10 i
I*>   192.168.10.0/24      10.10.1.2           80    10 i



#bgpctl show fib bgp
flags: * = valid, B = BGP, C = Connected, S = Static
       N = BGP Nexthop reachable via this route
       r = reject route, b = blackhole route

flags prio destination          gateway
*B      48 192.168.1.0/24       10.10.2.1
*B      48 192.168.9.0/24       10.10.2.1
*B      48 192.168.10.0/24      10.10.2.1



#route get 192.168.1.1
   route to: 192.168.1.1
destination: default
       mask: default
    gateway: 200.202.202.23 (INTERNET)
  interface: msk0
      flags: <UP,GATEWAY,DONE,STATIC>
 recvpipe  sendpipe  ssthresh  rtt,msec    mtu        weight    expire
       0         0         0         0      1500         1         0


---------------------------------------------------------------------
Obs: O gateway da internet foi alterado aqui, por questão de não publicação
do IP.
Outra coisa que reparei é que na exibição da tabela FIB as rotas estão
corretas e já na tabela RIB não está.
A minha rota correta para chegar na filial é 10.10.1.1 e da filial para
matriz é 10.10.2.1.

E quando eu digito o comando "route get" em qualquer unidade é a mesma
coisa que eu não tivesse roteamento e por isso ele joga pra rota default
(internet).
Alguém sabe como resolver isso?







Em 29 de novembro de 2013 11:28, Gilson De Paula
<gilson.bass...@gmail.com>escreveu:

> Alguém pode passar como configurar o Quagga ? To me batendo :(
>
> Enviado via iPhone
>
> > Em 29/11/2013, às 11:07, Victor Franca <victor.fra...@ewinfo.com.br>
> escreveu:
> >
> > Quagga.
> >
> >
> > Em 29 de novembro de 2013 11:05, Fernando Henrique Neves <
> > fernando....@gmail.com> escreveu:
> >
> >> Acredito q seja o quagga ele da suporte para bgp e ospf
> >> Em 29/11/2013 10:58, "Danilo Neves" <danilorpne...@bsd.com.br>
> escreveu:
> >>
> >>> Qual das duas está mais estável no pfSense.
> >>> Quagga ou OpenOSPF?
> >>>
> >>>
> >>>
> >>> Em 29 de novembro de 2013 10:52, Danilo Neves
> >>> <danilorpne...@bsd.com.br>escreveu:
> >>>
> >>>> Valeu pela dica e vou configurar o OSPF devido o detalhe que o Adelson
> >>>> citou.
> >>>> Assim que fizer isso ou precisar de ajuda, entro em contato com a
> lista
> >>>> novamente.
> >>>> Por enquanto obrigado.
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>> Em 29 de novembro de 2013 10:36, Adelson Amorim <adelson....@live.com
> >>>> escreveu:
> >>>>
> >>>> Bom dia Pessoal.
> >>>>> Sou analista de redes e faz algum tempo que não venho ajudando.
> >>>>> Tenho opnião diferente pois trabalho em uma operadora.
> >>>>> O tempo de convergencia do BGP é muito grande sendo até de 3 minutos,
> >>> por
> >>>>> ser um protocolo de roteamento de borda.
> >>>>> Mas para rede interna o melhor protocolo é o OSPF pois ja ultilizei
> em
> >>>>> varios clientes com o seu cenario.
> >>>>> Sendo meio que transparente a caida de um link ou mpls.
> >>>>>
> >>>>>> From: victor.fra...@ewinfo.com.br
> >>>>>> Date: Fri, 29 Nov 2013 10:28:54 -0200
> >>>>>> To: pfsense-pt@lists.pfsense.org
> >>>>>> Subject: Re: [Pfsense-pt] Failover MPLS X VPN
> >>>>>>
> >>>>>> Concordo com o Fernando.
> >>>>>>
> >>>>>>
> >>>>>> Em 29 de novembro de 2013 10:25, Fernando Henrique Neves <
> >>>>>> fernando....@gmail.com> escreveu:
> >>>>>>
> >>>>>>> Eu particularmente utilizaria da seguinte forma.
> >>>>>>> Fecharia uma vpn com a mpls e o link e seguida utilizaria,o bgp
> >>>>>>> pra,anunciar as redes de cada ponta e definir as metricas
> >>> priorizando
> >>>>> a
> >>>>>>> mpls e o link com uma metrica maior, assim se parar a mpls a
> >>>>> comunicacao
> >>>>>>> continua atravez do link.
> >>>>>>> Em 29/11/2013 10:00, "Victor Franca" <victor.fra...@ewinfo.com.br
> >>>
> >>>>>>> escreveu:
> >>>>>>>
> >>>>>>>> Parece besteira perguntar isso, mas verifique se a VPN está
> >>>>> configurada
> >>>>>>> na
> >>>>>>>> Interface correta nas outras filiais que não estão funcionando.
> >>>>> Diferente
> >>>>>>>> da MPLS).
> >>>>>>>>
> >>>>>>>> Quem é o Monitoring IP do MPLS nas outras filiais?
> >>>>>>>>
> >>>>>>>>
> >>>>>>>>
> >>>>>>>>
> >>>>>>>> Em 29 de novembro de 2013 09:56, Danilo Neves
> >>>>>>>> <danilorpne...@bsd.com.br>escreveu:
> >>>>>>>>
> >>>>>>>>> Outro detalhe é que todas tem um pfSense como gateway da rede
> >>> onde
> >>>>>>> chega
> >>>>>>>> o
> >>>>>>>>> link de internet e MPLS.
> >>>>>>>>>
> >>>>>>>>>
> >>>>>>>>>
> >>>>>>>>> Em 29 de novembro de 2013 09:55, Danilo Neves
> >>>>>>>>> <danilorpne...@bsd.com.br>escreveu:
> >>>>>>>>>
> >>>>>>>>>> Vou detalhar mais a rede.
> >>>>>>>>>> Cada unidade tem sua faixa de IP sem segmentação de grupo de
> >>>>> VLAN, ou
> >>>>>>>>> seja
> >>>>>>>>>> os desktops estão tudo é uma única faixa de IP da sua
> >> unidade.
> >>>>>>>>>>
> >>>>>>>>>> Exemplo:
> >>>>>>>>>> Matriz 192.168.1.0/24
> >>>>>>>>>> Filial 1: 192.168.2.0/24
> >>>>>>>>>> Filial 2: 192.168.3.0/24
> >>>>>>>>>> Filial 3: 192.168.4.0/24
> >>>>>>>>>>
> >>>>>>>>>> Meus servidores estão tudo centralizado na Matriz e por
> >> isso é
> >>>>>>>> necessário
> >>>>>>>>>> essa comunicação.
> >>>>>>>>>> Todas elas tem um link de internet e é onde fecho a VPN e
> >> uma
> >>>>> MPLS.
> >>>>>>>>>> Porém preciso fazer esse failover com a Matriz.
> >>>>>>>>>>
> >>>>>>>>>>
> >>>>>>>>>>
> >>>>>>>>>>
> >>>>>>>>>>
> >>>>>>>>>> Em 29 de novembro de 2013 09:45, Cleber Medina <
> >>>>>>> clebermed...@gmail.com
> >>>>>>>>>> escreveu:
> >>>>>>>>>>
> >>>>>>>>>> As redes das filiais são segmentadas?
> >>>>>>>>>>> Em 29/11/2013 09:43, "Danilo Neves" <
> >>> danilorpne...@bsd.com.br>
> >>>>>>>>> escreveu:
> >>>>>>>>>>>
> >>>>>>>>>>>> Bom dia;
> >>>>>>>>>>>> Caro colegas, tenho um servidor pfSense 2.1 configurado
> >> uma
> >>>>> rede
> >>>>>>>> MPLS
> >>>>>>>>> e
> >>>>>>>>>>> uma
> >>>>>>>>>>>> VPN.
> >>>>>>>>>>>> São 6 filiais conectadas na matriz, e minha necessidade é
> >>> que
> >>>>>>> quando
> >>>>>>>>> uma
> >>>>>>>>>>>> MPLS de uma determinada unidade cair, o roteamento
> >>> (trafego)
> >>>>> seja
> >>>>>>>>>>>> redirecionado para a VPN.
> >>>>>>>>>>>> A principio configurei  um grupo de gateway (failover)
> >>> sendo
> >>>>> que o
> >>>>>>>>> tier
> >>>>>>>>>>> 1 é
> >>>>>>>>>>>> MPLS e o tier 2 é a VPN.
> >>>>>>>>>>>> Também criei uma regra de firewall com advanced gateway
> >>> para
> >>>>> esse
> >>>>>>>>> grupo
> >>>>>>>>>>> de
> >>>>>>>>>>>> "failover" para o destino de uma determinada filial.
> >>>>>>>>>>>> Acontece que isso só funciona para uma filial, porque
> >>> quando
> >>>>> crio
> >>>>>>> o
> >>>>>>>>>>> gateway
> >>>>>>>>>>>> eu coloco para monitorar um destino e caso esse destino
> >>> fique
> >>>>>>>>>>> indisponível
> >>>>>>>>>>>> o gateway (VPN) secundário assume.
> >>>>>>>>>>>> Porém preciso fazer isso com todas as filiais, porque
> >> pode
> >>>>>>> acontecer
> >>>>>>>>> de
> >>>>>>>>>>> um
> >>>>>>>>>>>> MPLS de uma determinada filial cair e somente essa ser
> >>>>>>> redirecionada
> >>>>>>>>>>> para
> >>>>>>>>>>>> VPN.
> >>>>>>>>>>>>
> >>>>>>>>>>>> Alguém tem alguma sugestão de como fazer isso?
> >>>>>>>>>>>> Caso tenho ficado meio confuso, só perguntar que eu
> >> explico
> >>>>>>>> novamente.
> >>>>>>>>>>>> _______________________________________________
> >>>>>>>>>>>> Pfsense-pt mailing list
> >>>>>>>>>>>> Pfsense-pt@lists.pfsense.org
> >>>>>>>>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> >>>>>>>>>>> _______________________________________________
> >>>>>>>>>>> Pfsense-pt mailing list
> >>>>>>>>>>> Pfsense-pt@lists.pfsense.org
> >>>>>>>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> >>>>>>>>> _______________________________________________
> >>>>>>>>> Pfsense-pt mailing list
> >>>>>>>>> Pfsense-pt@lists.pfsense.org
> >>>>>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> >>>>>>>>
> >>>>>>>>
> >>>>>>>>
> >>>>>>>> --
> >> ..................................................................
> >>>>>>>> Atenciosamente
> >>>>>>>>
> >>>>>>>>
> >>>>>>>> Victor França
> >>>>>>>>
> >>>>>>>> Analista de Suporte
> >>>>>>>>
> >>>>>>>> EW Informática
> >>>>>>>>
> >>>>>>>> Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro.
> >>>>>>>>
> >>>>>>>> +55 21 93203 - 0368 (Opção 5)
> >>>>>>>> +55 21 99936 - 7575 (VIVO)
> >>>>>>>>
> >>>>>>>> e-mail: victor.fra...@ewinfo.com.br
> >>>>>>>> GTalk: victor.fra...@ewinfo.com.br
> >>>>>>>> _______________________________________________
> >>>>>>>> Pfsense-pt mailing list
> >>>>>>>> Pfsense-pt@lists.pfsense.org
> >>>>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> >>>>>>> _______________________________________________
> >>>>>>> Pfsense-pt mailing list
> >>>>>>> Pfsense-pt@lists.pfsense.org
> >>>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> --
> >>>>>> ..................................................................
> >>>>>> Atenciosamente
> >>>>>>
> >>>>>>
> >>>>>> Victor França
> >>>>>>
> >>>>>> Analista de Suporte
> >>>>>>
> >>>>>> EW Informática
> >>>>>>
> >>>>>> Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro.
> >>>>>>
> >>>>>> +55 21 93203 - 0368 (Opção 5)
> >>>>>> +55 21 99936 - 7575 (VIVO)
> >>>>>>
> >>>>>> e-mail: victor.fra...@ewinfo.com.br
> >>>>>> GTalk: victor.fra...@ewinfo.com.br
> >>>>>> _______________________________________________
> >>>>>> Pfsense-pt mailing list
> >>>>>> Pfsense-pt@lists.pfsense.org
> >>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> >>>>>
> >>>>> _______________________________________________
> >>>>> Pfsense-pt mailing list
> >>>>> Pfsense-pt@lists.pfsense.org
> >>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> >>> _______________________________________________
> >>> Pfsense-pt mailing list
> >>> Pfsense-pt@lists.pfsense.org
> >>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> >> _______________________________________________
> >> Pfsense-pt mailing list
> >> Pfsense-pt@lists.pfsense.org
> >> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> >
> >
> >
> > --
> > ..................................................................
> > Atenciosamente
> >
> >
> > Victor França
> >
> > Analista de Suporte
> >
> > EW Informática
> >
> > Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro.
> >
> > +55 21 93203 - 0368 (Opção 5)
> > +55 21 99936 - 7575 (VIVO)
> >
> > e-mail: victor.fra...@ewinfo.com.br
> > GTalk: victor.fra...@ewinfo.com.br
> > _______________________________________________
> > Pfsense-pt mailing list
> > Pfsense-pt@lists.pfsense.org
> > http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> _______________________________________________
> Pfsense-pt mailing list
> Pfsense-pt@lists.pfsense.org
> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>
_______________________________________________
Pfsense-pt mailing list
Pfsense-pt@lists.pfsense.org
http://lists.pfsense.org/mailman/listinfo/pfsense-pt