Re: [Pfsense-pt] Failover MPLS X VPN

[Danilo Neves]

Com a ajuda do Willian Pires na lista GTER eu resolvi meu problema....muito
grato :D
Foi descoberto que tinha um daemon routed rodando que estava atrapalhando
no roteamento do iBGP.
Outra coisa é que alteramos o listen on para 0.0.0.0  e habilitamos o
fib-update yes.
Também setamos o nexthop para a rota correta.

Resumindo: Agora está funcionando meu iBGP através de 2 links
Sendo que meu localpref é a MPLS e caso ela venha ficar indisponível, o
roteamento é redirecionado para a VPN.

Obrigado a todos :D.


Em 2 de dezembro de 2013 10:32, Danilo Neves <danilorpne...@bsd.com.br>escreveu:

> Não...baixei todas as regras.
>
>
> Em 2 de dezembro de 2013 09:57, Fernando Henrique Neves <
> fernando....@gmail.com> escreveu:
>
> Na lan tem alguma regra pra qualquer destino especificando um gw de algum
>> link?
>> Em 02/12/2013 09:53, "Danilo Neves" <danilorpne...@bsd.com.br> escreveu:
>>
>> > Devido a simplicidade da configuração do OpenBGPD, vou configurar uma
>> rede
>> > iBGP ao invés do OSPF.
>> > Mas estou tendo um problema que as rotas são anunciadas, mas eu não
>> consigo
>> > pingar entre as unidades.
>> > Na MATRIZ eu anunciei as redes
>> > 192.168.1.0/24
>> > 192.168.9.0/24
>> > 192.168.10.0/24
>> >
>> >
>> > Configuração MATRIZ
>> >
>> > AS 65513
>> > holdtime 90
>> > fib-update no
>> > listen on 10.10.1.2
>> > router-id 10.10.1.2
>> > network 192.168.1.0/24
>> > network 192.168.10.0/24
>> > network 192.168.9.0/24
>> > group "BGPCD" {
>> > remote-as 65513
>> > neighbor 10.10.2.2 {
>> > descr "CD"
>> > local-address 10.10.1.2
>> > announce IPv4 unicast
>> >
>> >
>> > set nexthop self
>> > set med 10
>> > set localpref 80
>> >
>> > }
>> > }
>> > allow from any
>> > allow to any
>> >
>> >
>> >
>> >
>> -----------------------------------------------------------------------------------------------------------
>> > E na FILIAL eu anunciei a rede
>> > 192.168.2.0/24
>> >
>> > configuração FILIAL
>> >
>> > AS 65513
>> > holdtime 90
>> > fib-update no
>> > listen on 10.10.2.2
>> > router-id 10.10.2.2
>> > network 192.168.2.0/24
>> >
>> > group "BGPBARROPRETO" {
>> > remote-as 65513
>> > neighbor 10.10.1.2 {
>> > descr "BARROPRETO"
>> > local-address 10.10.2.2
>> > announce IPv4 unicast
>> >
>> > set nexthop self
>> > set med 10
>> > set localpref 80
>> >
>> >
>> > }
>> > }
>> > allow from any
>> > allow to any
>> >
>> >
>> >
>> >
>> -------------------------------------------------------------------------------------------------------------
>> >
>> > Acontece é que eu não consigo pingar entre a Matriz e Filial
>> > As minha rotas são anunciadas em ambas as pontas.
>> >
>> >
>> > MATRIZ
>> >
>> > #bgpctl show rib
>> > flags: * = Valid, > = Selected, I = via IBGP, A = Announced, S = Stale
>> > origin: i = IGP, e = EGP, ? = Incomplete
>> >
>> > flags destination          gateway          lpref   med aspath origin
>> > AI*>  192.168.1.0/24       0.0.0.0            100     0 i
>> > I*>   192.168.2.0/24       10.10.2.2           80    10 i
>> > AI*>  192.168.9.0/24       0.0.0.0            100     0 i
>> > AI*>  192.168.10.0/24      0.0.0.0            100     0 i
>> >
>> >
>> >
>> >
>> > #bgpctl show fib bgp
>> > flags: * = valid, B = BGP, C = Connected, S = Static
>> >        N = BGP Nexthop reachable via this route
>> >        r = reject route, b = blackhole route
>> >
>> > flags prio destination          gateway
>> > *B      48 192.168.2.0/24       10.10.1.1
>> >
>> >
>> >
>> > #route get 192.168.2.1
>> > route to: 192.168.2.1
>> > destination: default
>> > mask: default
>> > gateway: 200.202.202.202  (INTERNET)
>> > interface: em0
>> > flags: <UP,GATEWAY,DONE,STATIC>
>> > recvpipe  sendpipe  ssthresh  rtt,msec    mtu        weight    expire
>> >        0         0         0         0      1500         1         0
>> >
>> >
>> >
>> > ----------------------------------------
>> > FILIAL
>> >
>> > #bgpctl show rib
>> > flags: * = Valid, > = Selected, I = via IBGP, A = Announced, S = Stale
>> > origin: i = IGP, e = EGP, ? = Incomplete
>> >
>> > flags destination          gateway          lpref   med aspath origin
>> > I*>   192.168.1.0/24       10.10.1.2           80    10 i
>> > AI*>  192.168.2.0/24       0.0.0.0            100     0 i
>> > I*>   192.168.9.0/24       10.10.1.2           80    10 i
>> > I*>   192.168.10.0/24      10.10.1.2           80    10 i
>> >
>> >
>> >
>> > #bgpctl show fib bgp
>> > flags: * = valid, B = BGP, C = Connected, S = Static
>> >        N = BGP Nexthop reachable via this route
>> >        r = reject route, b = blackhole route
>> >
>> > flags prio destination          gateway
>> > *B      48 192.168.1.0/24       10.10.2.1
>> > *B      48 192.168.9.0/24       10.10.2.1
>> > *B      48 192.168.10.0/24      10.10.2.1
>> >
>> >
>> >
>> > #route get 192.168.1.1
>> >    route to: 192.168.1.1
>> > destination: default
>> >        mask: default
>> >     gateway: 200.202.202.23 (INTERNET)
>> >   interface: msk0
>> >       flags: <UP,GATEWAY,DONE,STATIC>
>> >  recvpipe  sendpipe  ssthresh  rtt,msec    mtu        weight    expire
>> >        0         0         0         0      1500         1         0
>> >
>> >
>> > ---------------------------------------------------------------------
>> > Obs: O gateway da internet foi alterado aqui, por questão de não
>> publicação
>> > do IP.
>> > Outra coisa que reparei é que na exibição da tabela FIB as rotas estão
>> > corretas e já na tabela RIB não está.
>> > A minha rota correta para chegar na filial é 10.10.1.1 e da filial para
>> > matriz é 10.10.2.1.
>> >
>> > E quando eu digito o comando "route get" em qualquer unidade é a mesma
>> > coisa que eu não tivesse roteamento e por isso ele joga pra rota default
>> > (internet).
>> > Alguém sabe como resolver isso?
>> >
>> >
>> >
>> >
>> >
>> >
>> >
>> > Em 29 de novembro de 2013 11:28, Gilson De Paula
>> > <gilson.bass...@gmail.com>escreveu:
>> >
>> > > Alguém pode passar como configurar o Quagga ? To me batendo :(
>> > >
>> > > Enviado via iPhone
>> > >
>> > > > Em 29/11/2013, às 11:07, Victor Franca <victor.fra...@ewinfo.com.br
>> >
>> > > escreveu:
>> > > >
>> > > > Quagga.
>> > > >
>> > > >
>> > > > Em 29 de novembro de 2013 11:05, Fernando Henrique Neves <
>> > > > fernando....@gmail.com> escreveu:
>> > > >
>> > > >> Acredito q seja o quagga ele da suporte para bgp e ospf
>> > > >> Em 29/11/2013 10:58, "Danilo Neves" <danilorpne...@bsd.com.br>
>> > > escreveu:
>> > > >>
>> > > >>> Qual das duas está mais estável no pfSense.
>> > > >>> Quagga ou OpenOSPF?
>> > > >>>
>> > > >>>
>> > > >>>
>> > > >>> Em 29 de novembro de 2013 10:52, Danilo Neves
>> > > >>> <danilorpne...@bsd.com.br>escreveu:
>> > > >>>
>> > > >>>> Valeu pela dica e vou configurar o OSPF devido o detalhe que o
>> > Adelson
>> > > >>>> citou.
>> > > >>>> Assim que fizer isso ou precisar de ajuda, entro em contato com a
>> > > lista
>> > > >>>> novamente.
>> > > >>>> Por enquanto obrigado.
>> > > >>>>
>> > > >>>>
>> > > >>>>
>> > > >>>>
>> > > >>>>
>> > > >>>> Em 29 de novembro de 2013 10:36, Adelson Amorim <
>> > adelson....@live.com
>> > > >>>> escreveu:
>> > > >>>>
>> > > >>>> Bom dia Pessoal.
>> > > >>>>> Sou analista de redes e faz algum tempo que não venho ajudando.
>> > > >>>>> Tenho opnião diferente pois trabalho em uma operadora.
>> > > >>>>> O tempo de convergencia do BGP é muito grande sendo até de 3
>> > minutos,
>> > > >>> por
>> > > >>>>> ser um protocolo de roteamento de borda.
>> > > >>>>> Mas para rede interna o melhor protocolo é o OSPF pois ja
>> ultilizei
>> > > em
>> > > >>>>> varios clientes com o seu cenario.
>> > > >>>>> Sendo meio que transparente a caida de um link ou mpls.
>> > > >>>>>
>> > > >>>>>> From: victor.fra...@ewinfo.com.br
>> > > >>>>>> Date: Fri, 29 Nov 2013 10:28:54 -0200
>> > > >>>>>> To: pfsense-pt@lists.pfsense.org
>> > > >>>>>> Subject: Re: [Pfsense-pt] Failover MPLS X VPN
>> > > >>>>>>
>> > > >>>>>> Concordo com o Fernando.
>> > > >>>>>>
>> > > >>>>>>
>> > > >>>>>> Em 29 de novembro de 2013 10:25, Fernando Henrique Neves <
>> > > >>>>>> fernando....@gmail.com> escreveu:
>> > > >>>>>>
>> > > >>>>>>> Eu particularmente utilizaria da seguinte forma.
>> > > >>>>>>> Fecharia uma vpn com a mpls e o link e seguida utilizaria,o
>> bgp
>> > > >>>>>>> pra,anunciar as redes de cada ponta e definir as metricas
>> > > >>> priorizando
>> > > >>>>> a
>> > > >>>>>>> mpls e o link com uma metrica maior, assim se parar a mpls a
>> > > >>>>> comunicacao
>> > > >>>>>>> continua atravez do link.
>> > > >>>>>>> Em 29/11/2013 10:00, "Victor Franca" <
>> > victor.fra...@ewinfo.com.br
>> > > >>>
>> > > >>>>>>> escreveu:
>> > > >>>>>>>
>> > > >>>>>>>> Parece besteira perguntar isso, mas verifique se a VPN está
>> > > >>>>> configurada
>> > > >>>>>>> na
>> > > >>>>>>>> Interface correta nas outras filiais que não estão
>> funcionando.
>> > > >>>>> Diferente
>> > > >>>>>>>> da MPLS).
>> > > >>>>>>>>
>> > > >>>>>>>> Quem é o Monitoring IP do MPLS nas outras filiais?
>> > > >>>>>>>>
>> > > >>>>>>>>
>> > > >>>>>>>>
>> > > >>>>>>>>
>> > > >>>>>>>> Em 29 de novembro de 2013 09:56, Danilo Neves
>> > > >>>>>>>> <danilorpne...@bsd.com.br>escreveu:
>> > > >>>>>>>>
>> > > >>>>>>>>> Outro detalhe é que todas tem um pfSense como gateway da
>> rede
>> > > >>> onde
>> > > >>>>>>> chega
>> > > >>>>>>>> o
>> > > >>>>>>>>> link de internet e MPLS.
>> > > >>>>>>>>>
>> > > >>>>>>>>>
>> > > >>>>>>>>>
>> > > >>>>>>>>> Em 29 de novembro de 2013 09:55, Danilo Neves
>> > > >>>>>>>>> <danilorpne...@bsd.com.br>escreveu:
>> > > >>>>>>>>>
>> > > >>>>>>>>>> Vou detalhar mais a rede.
>> > > >>>>>>>>>> Cada unidade tem sua faixa de IP sem segmentação de grupo
>> de
>> > > >>>>> VLAN, ou
>> > > >>>>>>>>> seja
>> > > >>>>>>>>>> os desktops estão tudo é uma única faixa de IP da sua
>> > > >> unidade.
>> > > >>>>>>>>>>
>> > > >>>>>>>>>> Exemplo:
>> > > >>>>>>>>>> Matriz 192.168.1.0/24
>> > > >>>>>>>>>> Filial 1: 192.168.2.0/24
>> > > >>>>>>>>>> Filial 2: 192.168.3.0/24
>> > > >>>>>>>>>> Filial 3: 192.168.4.0/24
>> > > >>>>>>>>>>
>> > > >>>>>>>>>> Meus servidores estão tudo centralizado na Matriz e por
>> > > >> isso é
>> > > >>>>>>>> necessário
>> > > >>>>>>>>>> essa comunicação.
>> > > >>>>>>>>>> Todas elas tem um link de internet e é onde fecho a VPN e
>> > > >> uma
>> > > >>>>> MPLS.
>> > > >>>>>>>>>> Porém preciso fazer esse failover com a Matriz.
>> > > >>>>>>>>>>
>> > > >>>>>>>>>>
>> > > >>>>>>>>>>
>> > > >>>>>>>>>>
>> > > >>>>>>>>>>
>> > > >>>>>>>>>> Em 29 de novembro de 2013 09:45, Cleber Medina <
>> > > >>>>>>> clebermed...@gmail.com
>> > > >>>>>>>>>> escreveu:
>> > > >>>>>>>>>>
>> > > >>>>>>>>>> As redes das filiais são segmentadas?
>> > > >>>>>>>>>>> Em 29/11/2013 09:43, "Danilo Neves" <
>> > > >>> danilorpne...@bsd.com.br>
>> > > >>>>>>>>> escreveu:
>> > > >>>>>>>>>>>
>> > > >>>>>>>>>>>> Bom dia;
>> > > >>>>>>>>>>>> Caro colegas, tenho um servidor pfSense 2.1 configurado
>> > > >> uma
>> > > >>>>> rede
>> > > >>>>>>>> MPLS
>> > > >>>>>>>>> e
>> > > >>>>>>>>>>> uma
>> > > >>>>>>>>>>>> VPN.
>> > > >>>>>>>>>>>> São 6 filiais conectadas na matriz, e minha necessidade é
>> > > >>> que
>> > > >>>>>>> quando
>> > > >>>>>>>>> uma
>> > > >>>>>>>>>>>> MPLS de uma determinada unidade cair, o roteamento
>> > > >>> (trafego)
>> > > >>>>> seja
>> > > >>>>>>>>>>>> redirecionado para a VPN.
>> > > >>>>>>>>>>>> A principio configurei  um grupo de gateway (failover)
>> > > >>> sendo
>> > > >>>>> que o
>> > > >>>>>>>>> tier
>> > > >>>>>>>>>>> 1 é
>> > > >>>>>>>>>>>> MPLS e o tier 2 é a VPN.
>> > > >>>>>>>>>>>> Também criei uma regra de firewall com advanced gateway
>> > > >>> para
>> > > >>>>> esse
>> > > >>>>>>>>> grupo
>> > > >>>>>>>>>>> de
>> > > >>>>>>>>>>>> "failover" para o destino de uma determinada filial.
>> > > >>>>>>>>>>>> Acontece que isso só funciona para uma filial, porque
>> > > >>> quando
>> > > >>>>> crio
>> > > >>>>>>> o
>> > > >>>>>>>>>>> gateway
>> > > >>>>>>>>>>>> eu coloco para monitorar um destino e caso esse destino
>> > > >>> fique
>> > > >>>>>>>>>>> indisponível
>> > > >>>>>>>>>>>> o gateway (VPN) secundário assume.
>> > > >>>>>>>>>>>> Porém preciso fazer isso com todas as filiais, porque
>> > > >> pode
>> > > >>>>>>> acontecer
>> > > >>>>>>>>> de
>> > > >>>>>>>>>>> um
>> > > >>>>>>>>>>>> MPLS de uma determinada filial cair e somente essa ser
>> > > >>>>>>> redirecionada
>> > > >>>>>>>>>>> para
>> > > >>>>>>>>>>>> VPN.
>> > > >>>>>>>>>>>>
>> > > >>>>>>>>>>>> Alguém tem alguma sugestão de como fazer isso?
>> > > >>>>>>>>>>>> Caso tenho ficado meio confuso, só perguntar que eu
>> > > >> explico
>> > > >>>>>>>> novamente.
>> > > >>>>>>>>>>>> _______________________________________________
>> > > >>>>>>>>>>>> Pfsense-pt mailing list
>> > > >>>>>>>>>>>> Pfsense-pt@lists.pfsense.org
>> > > >>>>>>>>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>> > > >>>>>>>>>>> _______________________________________________
>> > > >>>>>>>>>>> Pfsense-pt mailing list
>> > > >>>>>>>>>>> Pfsense-pt@lists.pfsense.org
>> > > >>>>>>>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>> > > >>>>>>>>> _______________________________________________
>> > > >>>>>>>>> Pfsense-pt mailing list
>> > > >>>>>>>>> Pfsense-pt@lists.pfsense.org
>> > > >>>>>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>> > > >>>>>>>>
>> > > >>>>>>>>
>> > > >>>>>>>>
>> > > >>>>>>>> --
>> > > >> ..................................................................
>> > > >>>>>>>> Atenciosamente
>> > > >>>>>>>>
>> > > >>>>>>>>
>> > > >>>>>>>> Victor França
>> > > >>>>>>>>
>> > > >>>>>>>> Analista de Suporte
>> > > >>>>>>>>
>> > > >>>>>>>> EW Informática
>> > > >>>>>>>>
>> > > >>>>>>>> Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro.
>> > > >>>>>>>>
>> > > >>>>>>>> +55 21 93203 - 0368 (Opção 5)
>> > > >>>>>>>> +55 21 99936 - 7575 (VIVO)
>> > > >>>>>>>>
>> > > >>>>>>>> e-mail: victor.fra...@ewinfo.com.br
>> > > >>>>>>>> GTalk: victor.fra...@ewinfo.com.br
>> > > >>>>>>>> _______________________________________________
>> > > >>>>>>>> Pfsense-pt mailing list
>> > > >>>>>>>> Pfsense-pt@lists.pfsense.org
>> > > >>>>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>> > > >>>>>>> _______________________________________________
>> > > >>>>>>> Pfsense-pt mailing list
>> > > >>>>>>> Pfsense-pt@lists.pfsense.org
>> > > >>>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>> > > >>>>>>
>> > > >>>>>>
>> > > >>>>>>
>> > > >>>>>> --
>> > > >>>>>>
>> ..................................................................
>> > > >>>>>> Atenciosamente
>> > > >>>>>>
>> > > >>>>>>
>> > > >>>>>> Victor França
>> > > >>>>>>
>> > > >>>>>> Analista de Suporte
>> > > >>>>>>
>> > > >>>>>> EW Informática
>> > > >>>>>>
>> > > >>>>>> Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro.
>> > > >>>>>>
>> > > >>>>>> +55 21 93203 - 0368 (Opção 5)
>> > > >>>>>> +55 21 99936 - 7575 (VIVO)
>> > > >>>>>>
>> > > >>>>>> e-mail: victor.fra...@ewinfo.com.br
>> > > >>>>>> GTalk: victor.fra...@ewinfo.com.br
>> > > >>>>>> _______________________________________________
>> > > >>>>>> Pfsense-pt mailing list
>> > > >>>>>> Pfsense-pt@lists.pfsense.org
>> > > >>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>> > > >>>>>
>> > > >>>>> _______________________________________________
>> > > >>>>> Pfsense-pt mailing list
>> > > >>>>> Pfsense-pt@lists.pfsense.org
>> > > >>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>> > > >>> _______________________________________________
>> > > >>> Pfsense-pt mailing list
>> > > >>> Pfsense-pt@lists.pfsense.org
>> > > >>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>> > > >> _______________________________________________
>> > > >> Pfsense-pt mailing list
>> > > >> Pfsense-pt@lists.pfsense.org
>> > > >> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>> > > >
>> > > >
>> > > >
>> > > > --
>> > > > ..................................................................
>> > > > Atenciosamente
>> > > >
>> > > >
>> > > > Victor França
>> > > >
>> > > > Analista de Suporte
>> > > >
>> > > > EW Informática
>> > > >
>> > > > Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro.
>> > > >
>> > > > +55 21 93203 - 0368 (Opção 5)
>> > > > +55 21 99936 - 7575 (VIVO)
>> > > >
>> > > > e-mail: victor.fra...@ewinfo.com.br
>> > > > GTalk: victor.fra...@ewinfo.com.br
>> > > > _______________________________________________
>> > > > Pfsense-pt mailing list
>> > > > Pfsense-pt@lists.pfsense.org
>> > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>> > > _______________________________________________
>> > > Pfsense-pt mailing list
>> > > Pfsense-pt@lists.pfsense.org
>> > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>> > >
>> > _______________________________________________
>> > Pfsense-pt mailing list
>> > Pfsense-pt@lists.pfsense.org
>> > http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>> >
>> _______________________________________________
>> Pfsense-pt mailing list
>> Pfsense-pt@lists.pfsense.org
>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>>
>
>
_______________________________________________
Pfsense-pt mailing list
Pfsense-pt@lists.pfsense.org
http://lists.pfsense.org/mailman/listinfo/pfsense-pt