Re: [Pfsense-pt] Failover MPLS X VPN

[Danilo Neves]

Não...baixei todas as regras.


Em 2 de dezembro de 2013 09:57, Fernando Henrique Neves <
fernando....@gmail.com> escreveu:

> Na lan tem alguma regra pra qualquer destino especificando um gw de algum
> link?
> Em 02/12/2013 09:53, "Danilo Neves" <danilorpne...@bsd.com.br> escreveu:
>
> > Devido a simplicidade da configuração do OpenBGPD, vou configurar uma
> rede
> > iBGP ao invés do OSPF.
> > Mas estou tendo um problema que as rotas são anunciadas, mas eu não
> consigo
> > pingar entre as unidades.
> > Na MATRIZ eu anunciei as redes
> > 192.168.1.0/24
> > 192.168.9.0/24
> > 192.168.10.0/24
> >
> >
> > Configuração MATRIZ
> >
> > AS 65513
> > holdtime 90
> > fib-update no
> > listen on 10.10.1.2
> > router-id 10.10.1.2
> > network 192.168.1.0/24
> > network 192.168.10.0/24
> > network 192.168.9.0/24
> > group "BGPCD" {
> > remote-as 65513
> > neighbor 10.10.2.2 {
> > descr "CD"
> > local-address 10.10.1.2
> > announce IPv4 unicast
> >
> >
> > set nexthop self
> > set med 10
> > set localpref 80
> >
> > }
> > }
> > allow from any
> > allow to any
> >
> >
> >
> >
> -----------------------------------------------------------------------------------------------------------
> > E na FILIAL eu anunciei a rede
> > 192.168.2.0/24
> >
> > configuração FILIAL
> >
> > AS 65513
> > holdtime 90
> > fib-update no
> > listen on 10.10.2.2
> > router-id 10.10.2.2
> > network 192.168.2.0/24
> >
> > group "BGPBARROPRETO" {
> > remote-as 65513
> > neighbor 10.10.1.2 {
> > descr "BARROPRETO"
> > local-address 10.10.2.2
> > announce IPv4 unicast
> >
> > set nexthop self
> > set med 10
> > set localpref 80
> >
> >
> > }
> > }
> > allow from any
> > allow to any
> >
> >
> >
> >
> -------------------------------------------------------------------------------------------------------------
> >
> > Acontece é que eu não consigo pingar entre a Matriz e Filial
> > As minha rotas são anunciadas em ambas as pontas.
> >
> >
> > MATRIZ
> >
> > #bgpctl show rib
> > flags: * = Valid, > = Selected, I = via IBGP, A = Announced, S = Stale
> > origin: i = IGP, e = EGP, ? = Incomplete
> >
> > flags destination          gateway          lpref   med aspath origin
> > AI*>  192.168.1.0/24       0.0.0.0            100     0 i
> > I*>   192.168.2.0/24       10.10.2.2           80    10 i
> > AI*>  192.168.9.0/24       0.0.0.0            100     0 i
> > AI*>  192.168.10.0/24      0.0.0.0            100     0 i
> >
> >
> >
> >
> > #bgpctl show fib bgp
> > flags: * = valid, B = BGP, C = Connected, S = Static
> >        N = BGP Nexthop reachable via this route
> >        r = reject route, b = blackhole route
> >
> > flags prio destination          gateway
> > *B      48 192.168.2.0/24       10.10.1.1
> >
> >
> >
> > #route get 192.168.2.1
> > route to: 192.168.2.1
> > destination: default
> > mask: default
> > gateway: 200.202.202.202  (INTERNET)
> > interface: em0
> > flags: <UP,GATEWAY,DONE,STATIC>
> > recvpipe  sendpipe  ssthresh  rtt,msec    mtu        weight    expire
> >        0         0         0         0      1500         1         0
> >
> >
> >
> > ----------------------------------------
> > FILIAL
> >
> > #bgpctl show rib
> > flags: * = Valid, > = Selected, I = via IBGP, A = Announced, S = Stale
> > origin: i = IGP, e = EGP, ? = Incomplete
> >
> > flags destination          gateway          lpref   med aspath origin
> > I*>   192.168.1.0/24       10.10.1.2           80    10 i
> > AI*>  192.168.2.0/24       0.0.0.0            100     0 i
> > I*>   192.168.9.0/24       10.10.1.2           80    10 i
> > I*>   192.168.10.0/24      10.10.1.2           80    10 i
> >
> >
> >
> > #bgpctl show fib bgp
> > flags: * = valid, B = BGP, C = Connected, S = Static
> >        N = BGP Nexthop reachable via this route
> >        r = reject route, b = blackhole route
> >
> > flags prio destination          gateway
> > *B      48 192.168.1.0/24       10.10.2.1
> > *B      48 192.168.9.0/24       10.10.2.1
> > *B      48 192.168.10.0/24      10.10.2.1
> >
> >
> >
> > #route get 192.168.1.1
> >    route to: 192.168.1.1
> > destination: default
> >        mask: default
> >     gateway: 200.202.202.23 (INTERNET)
> >   interface: msk0
> >       flags: <UP,GATEWAY,DONE,STATIC>
> >  recvpipe  sendpipe  ssthresh  rtt,msec    mtu        weight    expire
> >        0         0         0         0      1500         1         0
> >
> >
> > ---------------------------------------------------------------------
> > Obs: O gateway da internet foi alterado aqui, por questão de não
> publicação
> > do IP.
> > Outra coisa que reparei é que na exibição da tabela FIB as rotas estão
> > corretas e já na tabela RIB não está.
> > A minha rota correta para chegar na filial é 10.10.1.1 e da filial para
> > matriz é 10.10.2.1.
> >
> > E quando eu digito o comando "route get" em qualquer unidade é a mesma
> > coisa que eu não tivesse roteamento e por isso ele joga pra rota default
> > (internet).
> > Alguém sabe como resolver isso?
> >
> >
> >
> >
> >
> >
> >
> > Em 29 de novembro de 2013 11:28, Gilson De Paula
> > <gilson.bass...@gmail.com>escreveu:
> >
> > > Alguém pode passar como configurar o Quagga ? To me batendo :(
> > >
> > > Enviado via iPhone
> > >
> > > > Em 29/11/2013, às 11:07, Victor Franca <victor.fra...@ewinfo.com.br>
> > > escreveu:
> > > >
> > > > Quagga.
> > > >
> > > >
> > > > Em 29 de novembro de 2013 11:05, Fernando Henrique Neves <
> > > > fernando....@gmail.com> escreveu:
> > > >
> > > >> Acredito q seja o quagga ele da suporte para bgp e ospf
> > > >> Em 29/11/2013 10:58, "Danilo Neves" <danilorpne...@bsd.com.br>
> > > escreveu:
> > > >>
> > > >>> Qual das duas está mais estável no pfSense.
> > > >>> Quagga ou OpenOSPF?
> > > >>>
> > > >>>
> > > >>>
> > > >>> Em 29 de novembro de 2013 10:52, Danilo Neves
> > > >>> <danilorpne...@bsd.com.br>escreveu:
> > > >>>
> > > >>>> Valeu pela dica e vou configurar o OSPF devido o detalhe que o
> > Adelson
> > > >>>> citou.
> > > >>>> Assim que fizer isso ou precisar de ajuda, entro em contato com a
> > > lista
> > > >>>> novamente.
> > > >>>> Por enquanto obrigado.
> > > >>>>
> > > >>>>
> > > >>>>
> > > >>>>
> > > >>>>
> > > >>>> Em 29 de novembro de 2013 10:36, Adelson Amorim <
> > adelson....@live.com
> > > >>>> escreveu:
> > > >>>>
> > > >>>> Bom dia Pessoal.
> > > >>>>> Sou analista de redes e faz algum tempo que não venho ajudando.
> > > >>>>> Tenho opnião diferente pois trabalho em uma operadora.
> > > >>>>> O tempo de convergencia do BGP é muito grande sendo até de 3
> > minutos,
> > > >>> por
> > > >>>>> ser um protocolo de roteamento de borda.
> > > >>>>> Mas para rede interna o melhor protocolo é o OSPF pois ja
> ultilizei
> > > em
> > > >>>>> varios clientes com o seu cenario.
> > > >>>>> Sendo meio que transparente a caida de um link ou mpls.
> > > >>>>>
> > > >>>>>> From: victor.fra...@ewinfo.com.br
> > > >>>>>> Date: Fri, 29 Nov 2013 10:28:54 -0200
> > > >>>>>> To: pfsense-pt@lists.pfsense.org
> > > >>>>>> Subject: Re: [Pfsense-pt] Failover MPLS X VPN
> > > >>>>>>
> > > >>>>>> Concordo com o Fernando.
> > > >>>>>>
> > > >>>>>>
> > > >>>>>> Em 29 de novembro de 2013 10:25, Fernando Henrique Neves <
> > > >>>>>> fernando....@gmail.com> escreveu:
> > > >>>>>>
> > > >>>>>>> Eu particularmente utilizaria da seguinte forma.
> > > >>>>>>> Fecharia uma vpn com a mpls e o link e seguida utilizaria,o bgp
> > > >>>>>>> pra,anunciar as redes de cada ponta e definir as metricas
> > > >>> priorizando
> > > >>>>> a
> > > >>>>>>> mpls e o link com uma metrica maior, assim se parar a mpls a
> > > >>>>> comunicacao
> > > >>>>>>> continua atravez do link.
> > > >>>>>>> Em 29/11/2013 10:00, "Victor Franca" <
> > victor.fra...@ewinfo.com.br
> > > >>>
> > > >>>>>>> escreveu:
> > > >>>>>>>
> > > >>>>>>>> Parece besteira perguntar isso, mas verifique se a VPN está
> > > >>>>> configurada
> > > >>>>>>> na
> > > >>>>>>>> Interface correta nas outras filiais que não estão
> funcionando.
> > > >>>>> Diferente
> > > >>>>>>>> da MPLS).
> > > >>>>>>>>
> > > >>>>>>>> Quem é o Monitoring IP do MPLS nas outras filiais?
> > > >>>>>>>>
> > > >>>>>>>>
> > > >>>>>>>>
> > > >>>>>>>>
> > > >>>>>>>> Em 29 de novembro de 2013 09:56, Danilo Neves
> > > >>>>>>>> <danilorpne...@bsd.com.br>escreveu:
> > > >>>>>>>>
> > > >>>>>>>>> Outro detalhe é que todas tem um pfSense como gateway da rede
> > > >>> onde
> > > >>>>>>> chega
> > > >>>>>>>> o
> > > >>>>>>>>> link de internet e MPLS.
> > > >>>>>>>>>
> > > >>>>>>>>>
> > > >>>>>>>>>
> > > >>>>>>>>> Em 29 de novembro de 2013 09:55, Danilo Neves
> > > >>>>>>>>> <danilorpne...@bsd.com.br>escreveu:
> > > >>>>>>>>>
> > > >>>>>>>>>> Vou detalhar mais a rede.
> > > >>>>>>>>>> Cada unidade tem sua faixa de IP sem segmentação de grupo de
> > > >>>>> VLAN, ou
> > > >>>>>>>>> seja
> > > >>>>>>>>>> os desktops estão tudo é uma única faixa de IP da sua
> > > >> unidade.
> > > >>>>>>>>>>
> > > >>>>>>>>>> Exemplo:
> > > >>>>>>>>>> Matriz 192.168.1.0/24
> > > >>>>>>>>>> Filial 1: 192.168.2.0/24
> > > >>>>>>>>>> Filial 2: 192.168.3.0/24
> > > >>>>>>>>>> Filial 3: 192.168.4.0/24
> > > >>>>>>>>>>
> > > >>>>>>>>>> Meus servidores estão tudo centralizado na Matriz e por
> > > >> isso é
> > > >>>>>>>> necessário
> > > >>>>>>>>>> essa comunicação.
> > > >>>>>>>>>> Todas elas tem um link de internet e é onde fecho a VPN e
> > > >> uma
> > > >>>>> MPLS.
> > > >>>>>>>>>> Porém preciso fazer esse failover com a Matriz.
> > > >>>>>>>>>>
> > > >>>>>>>>>>
> > > >>>>>>>>>>
> > > >>>>>>>>>>
> > > >>>>>>>>>>
> > > >>>>>>>>>> Em 29 de novembro de 2013 09:45, Cleber Medina <
> > > >>>>>>> clebermed...@gmail.com
> > > >>>>>>>>>> escreveu:
> > > >>>>>>>>>>
> > > >>>>>>>>>> As redes das filiais são segmentadas?
> > > >>>>>>>>>>> Em 29/11/2013 09:43, "Danilo Neves" <
> > > >>> danilorpne...@bsd.com.br>
> > > >>>>>>>>> escreveu:
> > > >>>>>>>>>>>
> > > >>>>>>>>>>>> Bom dia;
> > > >>>>>>>>>>>> Caro colegas, tenho um servidor pfSense 2.1 configurado
> > > >> uma
> > > >>>>> rede
> > > >>>>>>>> MPLS
> > > >>>>>>>>> e
> > > >>>>>>>>>>> uma
> > > >>>>>>>>>>>> VPN.
> > > >>>>>>>>>>>> São 6 filiais conectadas na matriz, e minha necessidade é
> > > >>> que
> > > >>>>>>> quando
> > > >>>>>>>>> uma
> > > >>>>>>>>>>>> MPLS de uma determinada unidade cair, o roteamento
> > > >>> (trafego)
> > > >>>>> seja
> > > >>>>>>>>>>>> redirecionado para a VPN.
> > > >>>>>>>>>>>> A principio configurei  um grupo de gateway (failover)
> > > >>> sendo
> > > >>>>> que o
> > > >>>>>>>>> tier
> > > >>>>>>>>>>> 1 é
> > > >>>>>>>>>>>> MPLS e o tier 2 é a VPN.
> > > >>>>>>>>>>>> Também criei uma regra de firewall com advanced gateway
> > > >>> para
> > > >>>>> esse
> > > >>>>>>>>> grupo
> > > >>>>>>>>>>> de
> > > >>>>>>>>>>>> "failover" para o destino de uma determinada filial.
> > > >>>>>>>>>>>> Acontece que isso só funciona para uma filial, porque
> > > >>> quando
> > > >>>>> crio
> > > >>>>>>> o
> > > >>>>>>>>>>> gateway
> > > >>>>>>>>>>>> eu coloco para monitorar um destino e caso esse destino
> > > >>> fique
> > > >>>>>>>>>>> indisponível
> > > >>>>>>>>>>>> o gateway (VPN) secundário assume.
> > > >>>>>>>>>>>> Porém preciso fazer isso com todas as filiais, porque
> > > >> pode
> > > >>>>>>> acontecer
> > > >>>>>>>>> de
> > > >>>>>>>>>>> um
> > > >>>>>>>>>>>> MPLS de uma determinada filial cair e somente essa ser
> > > >>>>>>> redirecionada
> > > >>>>>>>>>>> para
> > > >>>>>>>>>>>> VPN.
> > > >>>>>>>>>>>>
> > > >>>>>>>>>>>> Alguém tem alguma sugestão de como fazer isso?
> > > >>>>>>>>>>>> Caso tenho ficado meio confuso, só perguntar que eu
> > > >> explico
> > > >>>>>>>> novamente.
> > > >>>>>>>>>>>> _______________________________________________
> > > >>>>>>>>>>>> Pfsense-pt mailing list
> > > >>>>>>>>>>>> Pfsense-pt@lists.pfsense.org
> > > >>>>>>>>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> > > >>>>>>>>>>> _______________________________________________
> > > >>>>>>>>>>> Pfsense-pt mailing list
> > > >>>>>>>>>>> Pfsense-pt@lists.pfsense.org
> > > >>>>>>>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> > > >>>>>>>>> _______________________________________________
> > > >>>>>>>>> Pfsense-pt mailing list
> > > >>>>>>>>> Pfsense-pt@lists.pfsense.org
> > > >>>>>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> > > >>>>>>>>
> > > >>>>>>>>
> > > >>>>>>>>
> > > >>>>>>>> --
> > > >> ..................................................................
> > > >>>>>>>> Atenciosamente
> > > >>>>>>>>
> > > >>>>>>>>
> > > >>>>>>>> Victor França
> > > >>>>>>>>
> > > >>>>>>>> Analista de Suporte
> > > >>>>>>>>
> > > >>>>>>>> EW Informática
> > > >>>>>>>>
> > > >>>>>>>> Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro.
> > > >>>>>>>>
> > > >>>>>>>> +55 21 93203 - 0368 (Opção 5)
> > > >>>>>>>> +55 21 99936 - 7575 (VIVO)
> > > >>>>>>>>
> > > >>>>>>>> e-mail: victor.fra...@ewinfo.com.br
> > > >>>>>>>> GTalk: victor.fra...@ewinfo.com.br
> > > >>>>>>>> _______________________________________________
> > > >>>>>>>> Pfsense-pt mailing list
> > > >>>>>>>> Pfsense-pt@lists.pfsense.org
> > > >>>>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> > > >>>>>>> _______________________________________________
> > > >>>>>>> Pfsense-pt mailing list
> > > >>>>>>> Pfsense-pt@lists.pfsense.org
> > > >>>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> > > >>>>>>
> > > >>>>>>
> > > >>>>>>
> > > >>>>>> --
> > > >>>>>>
> ..................................................................
> > > >>>>>> Atenciosamente
> > > >>>>>>
> > > >>>>>>
> > > >>>>>> Victor França
> > > >>>>>>
> > > >>>>>> Analista de Suporte
> > > >>>>>>
> > > >>>>>> EW Informática
> > > >>>>>>
> > > >>>>>> Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro.
> > > >>>>>>
> > > >>>>>> +55 21 93203 - 0368 (Opção 5)
> > > >>>>>> +55 21 99936 - 7575 (VIVO)
> > > >>>>>>
> > > >>>>>> e-mail: victor.fra...@ewinfo.com.br
> > > >>>>>> GTalk: victor.fra...@ewinfo.com.br
> > > >>>>>> _______________________________________________
> > > >>>>>> Pfsense-pt mailing list
> > > >>>>>> Pfsense-pt@lists.pfsense.org
> > > >>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> > > >>>>>
> > > >>>>> _______________________________________________
> > > >>>>> Pfsense-pt mailing list
> > > >>>>> Pfsense-pt@lists.pfsense.org
> > > >>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> > > >>> _______________________________________________
> > > >>> Pfsense-pt mailing list
> > > >>> Pfsense-pt@lists.pfsense.org
> > > >>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> > > >> _______________________________________________
> > > >> Pfsense-pt mailing list
> > > >> Pfsense-pt@lists.pfsense.org
> > > >> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> > > >
> > > >
> > > >
> > > > --
> > > > ..................................................................
> > > > Atenciosamente
> > > >
> > > >
> > > > Victor França
> > > >
> > > > Analista de Suporte
> > > >
> > > > EW Informática
> > > >
> > > > Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro.
> > > >
> > > > +55 21 93203 - 0368 (Opção 5)
> > > > +55 21 99936 - 7575 (VIVO)
> > > >
> > > > e-mail: victor.fra...@ewinfo.com.br
> > > > GTalk: victor.fra...@ewinfo.com.br
> > > > _______________________________________________
> > > > Pfsense-pt mailing list
> > > > Pfsense-pt@lists.pfsense.org
> > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> > > _______________________________________________
> > > Pfsense-pt mailing list
> > > Pfsense-pt@lists.pfsense.org
> > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> > >
> > _______________________________________________
> > Pfsense-pt mailing list
> > Pfsense-pt@lists.pfsense.org
> > http://lists.pfsense.org/mailman/listinfo/pfsense-pt
> >
> _______________________________________________
> Pfsense-pt mailing list
> Pfsense-pt@lists.pfsense.org
> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>
_______________________________________________
Pfsense-pt mailing list
Pfsense-pt@lists.pfsense.org
http://lists.pfsense.org/mailman/listinfo/pfsense-pt