BGP (default) и PI подсеть

[Sir_Prikol]

Добрый день.
Ситуация следующая
Поднят BGP (default) (то есть таблици маршрутов просто нет)
Есть PI сеть (/24)
Всё бы хорошо, но происходит следующая ситуация. По непонятным причинам отключается белая сеть. Сама по себе, спасает тоько многократный resend анонсирования сети в BGP. И, по логам на машинах с белыми IP, коннект осуществляется к ним с IP адреса шлюза

Сама сеть
CRS125-24G-1S - Железка которая обслуживает (по тихоньку переезжаем на CHRx86_64, но из-за непоняток что творится с конфигурацией, не используем)
111.111.111.0/24 (моя PI сеть)
222.222.222.218/30 (сеть провайдера для BGP и "грязный" интернет)
01.WAN_ISP01 - Uplink (интерфейс)
00.01_servers-bridge - Bridge, в неё включён WAN (смотрит в локалку)
00.02_lan-bridge - Bridge (серая сеть, нужна для не важных устройств, смотрит в локалку)
192.168.15.0/24 - сеть для ipces соединения
192.168.7.0/24 - удалённая сеть для ipsec
198.51.100.0/24 - серая сеть
AS62423 - AS провайдера
AS60704 - моя AS
proxy-arp на WAN интерфейсе включён
firewall - отключён (кроме fasttrack)
Основная конфигурация
(не указаны отнемапленные IP, DHCP для серой сети и стандартные DNS)

Код: Выделить всё

/ip address
add address=222.222.222.218/30 comment=ISP interface=01.WAN_ISP01 network=222.222.222.216
add address=111.111.111.1/24 comment=BGP-1 interface=00.01_servers-bridge network=111.111.111.0
add address=198.51.100.1/24 interface=00.02_lan-bridge network=198.51.100.0
add address=192.168.15.1/24 interface=01.WAN_ISP01 network=192.168.15.0

/ip firewall nat
add action=accept chain=srcnat comment=to_192.168.7.0/24 dst-address=192.168.7.0/24 src-address=192.168.15.0/24
add action=masquerade chain=srcnat src-address=!111.111.111.0/24

/ip route
add bgp-as-path=62423,9002 bgp-origin=igp distance=1 gateway=222.222.222.217 pref-src=222.222.222.218 scope=40
add distance=1 dst-address=111.111.111.0/24 gateway=00.01_servers-bridge pref-src=111.111.111.1

/routing bgp network
add network=111.111.111.0/24 synchronize=no
/routing bgp peer
add in-filter=as62423-in name=ISP out-filter=as62423-out remote-address=222.222.222.217 remote-as=62423 ttl=default

/routing bgp instance
set default as=60704 router-id=111.111.111.1
/routing ospf instance
set [ find default=yes ] disabled=yes router-id=111.111.111.1

/interface bridge port
add bridge=00.01_servers-bridge interface=ether13
add bridge=00.01_servers-bridge interface=ether14
add bridge=00.01_servers-bridge interface=ether15
add bridge=00.01_servers-bridge interface=ether16
add bridge=00.01_servers-bridge interface=ether17
add bridge=00.01_servers-bridge interface=ether18
add bridge=00.01_servers-bridge interface=ether19
add bridge=00.01_servers-bridge interface=ether20
add bridge=00.01_servers-bridge interface=ether21
add bridge=00.01_servers-bridge interface=ether22
add bridge=00.01_servers-bridge interface=ether2
add bridge=00.01_servers-bridge interface=ether3
add bridge=00.02_lan-bridge interface=ether4
add bridge=00.01_servers-bridge interface=ether5
add bridge=00.01_servers-bridge interface=ether6
add bridge=00.01_servers-bridge interface=ether7
add bridge=00.01_servers-bridge interface=ether8
add bridge=00.02_lan-bridge interface=ether9
add bridge=00.02_lan-bridge interface=ether10
add bridge=00.01_servers-bridge interface=ether11
add bridge=00.01_servers-bridge interface=ether12
add bridge=00.01_servers-bridge interface=01.WAN_ISP01

Я грешу на включённый фасттрак (в части того, что соединения в логах у машинок за микротиком светится не реальный IP кто коннектится, а IP микротика, но оттестировать смогу только ночью, так как любое изменение в конфигурации, влечёт за собой пропадание белой сети)

Самое противное, что нельзя использовать netmap (тупой софт за микротиком, не понимает)

[Chupaka]

Доброго.

Proxy-ARP на WAN, как вижу, не нужен.

Я грешу на включённый фасттрак (в части того, что соединения в логах у машинок за микротиком светится не реальный IP кто коннектится, а IP микротика)

Нет, это из-за masquerade-правила NAT, там нужно просто добавить out-interface=01.WAN_ISP01 - в текущей конфигурации роутер все коннекты не из подсети 111.111.111.0/24 маскирует собой.

Самое противное, что нельзя использовать netmap (тупой софт за микротиком, не понимает)

Зачем использовать? Что-то ничего не понял.

По непонятным причинам отключается белая сеть. Сама по себе, спасает тоько многократный resend анонсирования сети в BGP.

Соединение BGP при этом не рвётся, никаких ошибок в логе нет? Трассировки что показывают? На всяких Looking Glass можно посмотреть, приходит ли анонс. Если анонс пропадает - пинать своего провайдера.

[Sir_Prikol]

Провайдера там я отпинал
Looking Glass смотрю на he.net.
Анонсы пропадают с завидной регулярностью. Примерно раз в 2 часа (как раз в этот момент начинаются глюки у провайдера)

BGP мало того, что рвалось, оно рвалось очень неудачно по таймауту. В результате вешался рутер.

Пока писал пост, отзвонился провайдер и принято решение перенести на другой AS, так как тот, к которому сейчас цепляюсь, у них просто не настроен. Заодно получаю полную таблицу маршрутизации, с ней легче работать.

netmap иногда необходим, чтобы отсеивать неудобные коннекты на уровне шлюза. Но это лирика.

out-interface=01.WAN_ISP01 - так как он в бридже, подсвечивает красным, поставил out-interface-list=WAN

А самое противное, что я в Калининграде, провайдер в Москве и "удалённые ручки" которые перетыкают кабели, нифига не смислят в сетях

Чуть попозже дополню пост, после переходя на другой AS посмотрю как будет жить сеть.

[Chupaka]

BGP мало того, что рвалось, оно рвалось очень неудачно по таймауту. В результате вешался рутер.

Честно говоря, вообще о зависаниях из-за BGP (причём безо всякой нагрузки вроде full view) не слышал. С роутером точно проблемы нет?

Заодно получаю полную таблицу маршрутизации, с ней легче работать.

Если у вас один провайдер - это лишь дополнительная головная боль и увеличенное время установления сессии. Что значит "много сотен тысяч маршрутов - легче, чем один, дефолтный"?

netmap иногда необходим, чтобы отсеивать неудобные коннекты на уровне шлюза. Но это лирика.

Опять непонятная фраза. Могу только сказать, что отсеивать неудобные коннекты на уровне шлюза должен IP Firewall Filter, а не NAT. К сожалению, в Интернетах полно инструкций, в которых, например, NAT Masquerade предлагают использовать для ограничения доступа - это в корне неверно, но хватает людей, не понимающих базовых принципов сетей и верящих на слово текстам в Интернете

out-interface=01.WAN_ISP01 - так как он в бридже, подсвечивает красным, поставил out-interface-list=WAN

Хм, а есть какой-то глубинный смысл связи на втором уровне между серверами и провайдером?..

[Sir_Prikol]

Логи исправились, спасибо!

Честно говоря, вообще о зависаниях из-за BGP (причём безо всякой нагрузки вроде full view) не слышал. С роутером точно проблемы нет?

На сколько я могу пощупать снаружи, проблем нет, но, так как, прежде чем ко мне обратились, их якобы DDoSили (оказалось что заражена была внутренняя машина), тут может совпадать, что при пропадании BGP сессии, какая-то машина, начинала тупо глушить рутер запросами и он зависал. Почему я и принял решение уйти на офтверный рутер на базе i7 процессора

Если у вас один провайдер - это лишь дополнительная головная боль и увеличенное время установления сессии. Что значит "много сотен тысяч маршрутов - легче, чем один, дефолтный"?

К счастью у нас сейчас будет 2 провайдера (как минимум), хотя хозяев сети я убеждал в этом дней десять, они не понимали зачем

Опять непонятная фраза. Могу только сказать, что отсеивать неудобные коннекты на уровне шлюза должен IP Firewall Filter, а не NAT. К сожалению, в Интернетах полно инструкций, в которых, например, NAT Masquerade предлагают использовать для ограничения доступа - это в корне неверно, но хватает людей, не понимающих базовых принципов сетей и верящих на слово текстам в Интернете

Я в жизни masquerade не использовал как ограничение доступа, ибо сколько не настраивал сетей, всё делал на уровне firewall. При этом с микротиками работаю ещё с прошлого века, просто иногда бывают ну совсем не стандартные задачи, или совсем не понятные явления, поэтому и приходится обращаться. А иногда и делать костыли, так как ещё не реализованы, нужные мне, вещи, как, к примеру, маркировка маршрутов в IPv6. Микротиковцы обещают это реализовать в ROS7
К сожалению, на данной железке firewall не защитит от полноценной DDoS атаки. Так как просто не хватит ресурсов для обработки всех соединений
Netmap, в конкретном случае, исключительно из-за того, что есть машины в сети, которые должны сидеть в серой сетке и изредка выходить в мир с определённых белых адресов. В других случаях они могут в мир ходить с любого. Я понимаю что надо выбрать или netmap или чистые IP, но это будет сделано чуть позже.

Хм, а есть какой-то глубинный смысл связи на втором уровне между серверами и провайдером?..

На счёт глубинного смысла - даже я сам не знаю Но маршрутизацию надо делать, там всё на столько противно, из-за кривого софта, что мучений больше, чем пользы.

[Chupaka]

К счастью у нас сейчас будет 2 провайдера (как минимум), хотя хозяев сети я убеждал в этом дней десять, они не понимали зачем

И оба с фулвью?

К сожалению, на данной железке firewall не защитит от полноценной DDoS атаки. Так как просто не хватит ресурсов для обработки всех соединений

Поговаривают, что с таблицей RAW всё стало чуточку интереснее

На счёт глубинного смысла - даже я сам не знаю Но маршрутизацию надо делать, там всё на столько противно, из-за кривого софта, что мучений больше, чем пользы.

Вот-вот, и я говорю, что надо делать маршрутизацию, а не бриджевать всё в кучу.

[Sir_Prikol]

И оба с фулвью?

Один точно, второй под вопросом

Поговаривают, что с таблицей RAW всё стало чуточку интереснее

Надо будет проверить

Вот-вот, и я говорю, что надо делать маршрутизацию, а не бриджевать всё в кучу.

[Chupaka]

Один точно, второй под вопросом

Если на втором не будет - то и на первом не надо

[Sir_Prikol]

Если на втором не будет - то и на первом не надо

Я хочу чтоб было Там будет зависеть от магистрала. В любом случае всё это дело переедет на нормальное железо. А, в последствии, на железный CCR1036-8G-2S+. И то, исключительно из-за количества портов, так бы не переезжал и оставил на софтверном с 3-мя сетевухами.

[Sir_Prikol]

The principle is not normal, but it all depends on the settings. With the correct settings, a full view table flies in 120 seconds (checked), with some problems on the giving - spent an hour, but never got a table. All the time the precipice.

[Sir_Prikol]

Выяснилось, гемморой у магистрального провайдера. Он так и не сиправил проблему. Прошёл месяц. Пришлось просто отказаться от данного магистрала и перейти на другого. Всё взлетело. Полная таблица - 120 сек и никаких проблем. Даже железо не прищлось менять